Al menos 25 millones de estadounidenses, incluida aproximadamente la mitad de la población de Texas, se vieron envueltos en una filtración masiva de datos en la empresa de tecnología Conduent, exponiendo información confidencial como números de Seguro Social y datos de seguros médicos.
Conduent, el contratista de tecnología empresarial y gubernamental con sede en Nueva Jersey, fue atacado por piratas informáticos en un ataque que comenzó en octubre de 2024 y pasó desapercibido durante casi tres meses antes de ser descubierto el 13 de enero del año pasado.
El ataque de ransomware se está volviendo cada vez más evidente a medida que los estados continúan descubriendo cuántas personas se vieron afectadas.
Sólo Texas revisó su cifra de 4 millones de personas que podrían haber sido afectadas a 15,4 millones, un asombroso aumento del 285%.
En Oregón, se estima que 10,5 millones de personas pueden haber visto sus datos confidenciales expuestos en la violación.
Se cree que también se vieron afectados cientos de miles de otras víctimas en estados como Delaware, Massachusetts y New Hampshire.
La violación también ha provocado una ola de litigios, con múltiples demandas colectivas consolidadas en un tribunal federal de Nueva Jersey acusando a Conduent de no salvaguardar adecuadamente los datos personales y de salud sensibles y de esperar meses para notificar a las víctimas después de descubrir la intrusión.
En diciembre se nombró un comité directivo de demandantes para supervisar el litigio, que podría exponer a Conduent a daños significativos, sanciones regulatorias y consecuencias a largo plazo con los clientes del gobierno estatal.
Conduent opera sistemas backend críticos para gobiernos estatales en todo el país, manejando todo, desde reclamos de Medicaid y sistemas de elegibilidad hasta pagos de manutención infantil, asistencia alimentaria y seguro de desempleo.
La compañía trabaja con agencias en 46 estados y apoya programas gubernamentales de atención médica que atienden a alrededor de 120 millones de personas, procesan más de 500 millones de solicitudes de Medicaid cada año y desembolsan decenas de miles de millones de dólares anualmente en beneficios públicos.
El ataque fue llevado a cabo por el grupo de ransomware SafePay, que públicamente se atribuyó la responsabilidad y dijo que había desviado aproximadamente 8,5 terabytes de datos de los sistemas de Conduent durante la intrusión que duró meses.
SafePay incluyó a Conduent en su sitio de filtración de la web oscura en febrero de 2025 y amenazó con publicar los datos si no se pagaba un rescate, aunque Conduent no ha dicho si interactuó con los piratas informáticos.
Ni Conduent ni SafePay han confirmado el monto de la demanda de rescate y la compañía no ha declarado públicamente si se realizó algún pago.
Conduent dijo que actuó rápidamente para proteger sus redes, restaurar sus sistemas y operaciones, notificar a las autoridades y realizar una investigación con la ayuda de expertos forenses externos.
«Tanto Conduent como nuestros expertos externos monitorean la web oscura con regularidad y no tienen evidencia de que se haya divulgado información personal en la web oscura», dijo la compañía en un comunicado.
Conduent es una empresa de propiedad pública cuyas acciones cotizan en el Nasdaq. En 2018, las acciones superaron los 23 dólares por acción, pero desde entonces han perdido el 90% de su valor. El lunes, cotizaba a alrededor de 1,50 dólares la acción.
Josh Mason, director de tecnología de RecordPoint, dijo que la violación resalta los riesgos que plantean los proveedores externos.
«Esta violación subraya cómo las dependencias de terceros amplían la superficie de ataque», dijo Mason. «Necesitamos visibilidad de extremo a extremo y una detección más rápida en toda la cadena de suministro».
