Por: Alexander Castro
Pie de foto: Un primer plano extremo de una carta de monitoreo de crédito gratuito que se entrenó a los clientes afectados por la violación de datos de RIBridges a principios de enero, explicando la violación y cómo acceder a los servicios de monitoreo y protección de identidad pagados por el proveedor de sistemas Deloitte. (Foto de Alexander Castro/Rhode Island Current)
Esté atento a un correo electrónico para restablecer su contraseña y recuperar el acceso al portal de seguros de salud y servicios sociales
Después de más de un mes fuera de servicio, la puerta de acceso al portal de seguros de salud y beneficios públicos de Rhode Island se reabrirá para unos pocos miles de residentes.
El estado implementará gradualmente el acceso de los usuarios al portal RIBridges, HealthyRhode.ri.gov, durante las próximas semanas, informaron el jueves el gobernador Dan McKee y funcionarios estatales en la Casa Estatal.
“El portal de clientes ha recibido luz verde,” dijo McKee. “Sin embargo, este esfuerzo no es tan simple como accionar un interruptor. Vamos a relanzar el sistema aumentando gradualmente la capacidad de usuarios.”
Desde tan pronto como la mañana del viernes, unos pocos miles de cuentas seleccionadas al azar recibirán correos electrónicos con instrucciones para restablecer sus contraseñas en la fase inicial de restauración del acceso público al portal de seguros de salud y servicios sociales. Los usuarios deberán crear una nueva contraseña para acceder al sitio web, que fue cerrado en diciembre después de que el proveedor del sistema, Deloitte, reconociera un ciberataque que robó aproximadamente un terabyte de datos.
La reapertura se produce después de que Deloitte y un auditor externo determinaran que el sistema es seguro para operar en su interfaz pública. El backend administrativo del sitio, utilizado por empleados estatales, volvió a funcionar a principios de este mes.
Los correos electrónicos para restablecer la contraseña no contendrán enlaces clicables y serán enviados desde la dirección notice@uhip.ri.gov. Los usuarios que no reciban este correo no podrán iniciar sesión. El estado está controlando el acceso al portal para evaluar la preparación del sistema antes de un regreso completo a las operaciones normales. Tampoco se podrán crear nuevas cuentas en esta etapa, indicó el gobernador.
“Necesitamos limitar el número de personas que inician sesión al principio,” dijo McKee a los periodistas durante una conferencia de prensa.
La fase uno podría durar entre una y dos semanas, explicó el Director Digital Brian Tardiff, aunque podrían enviarse menos tandas de correos de restablecimiento si todo avanza sin problemas.
Los nuevos requisitos de contraseña para HealthyRhode son:
10 a 15 caracteres (más que el requisito anterior de ocho caracteres)
Al menos 1 número
Al menos 1 carácter especial
Al menos 1 letra mayúscula y 1 letra minúscula
No repetir un carácter más de dos veces seguidas
No contener el nombre de usuario de la cuenta
Los expertos en ciberseguridad recomiendan cambiar sus contraseñas en otros sitios donde haya utilizado una contraseña o nombre de usuario comprometido. Si utilizó su combinación de usuario y contraseña de HealthyRhode.ri.gov en otros lugares, es recomendable cambiarlas también allí. Los administradores de contraseñas, integrados en navegadores modernos como Google Chrome y que suelen ser fáciles de consultar, pueden ayudarle a identificar si ha utilizado la misma combinación en múltiples sitios. Un generador en línea puede crear contraseñas muy largas y difíciles de descifrar que probablemente cumplan con los nuevos requisitos del sistema.
Lindsay Lang, directora del mercado de cobertura de salud HealthSource RI, recordó a los residentes que el período de inscripción abierta se ha extendido hasta finales de febrero de este año.
“Los clientes que fueron trasladados automáticamente desde su cobertura de 2024 sin haber elegido un plan, o aquellos que no fueron renovados automáticamente para 2025, ahora es el momento de llamarnos,” dijo Lang.
Fortalezas ocultas y cabos sueltos
La saga de RIBridges puede parecer que llega a su desenlace con el sistema vulnerado volviendo gradualmente a estar en línea, pero aún quedan muchos aspectos sin resolver.
Uno de los más llamativos es la continua ausencia de la megaconsultora Deloitte en las conferencias de prensa del gobernador. Funcionarios estatales expresaron su esperanza de que un representante de la empresa —que generó 67.2 mil millones de dólares en su año fiscal 2024— eventualmente participe.
“Deloitte está muy enfocada en el proceso de restauración y, como hemos dicho, en el momento adecuado esperamos que esté aquí con nosotros,” señaló Tardiff. “Todavía estamos en proceso de restauración. Una vez que se complete, tendremos esas conversaciones.”
Un portavoz de Deloitte no respondió a una solicitud de comentarios el jueves por la tarde.
También está el tema de los programas y las personas afectadas. Los análisis independientes no han aclarado completamente todos los tipos de datos robados. Entre la información comprometida se incluyen cadenas de datos de la Administración del Seguro Social utilizadas para verificar el estado de encarcelamiento de los solicitantes, lo que podría afectar a una amplia gama de servicios sociales. La lista oficial de programas afectados asciende a nueve, incluyendo Medicaid, cupones de alimentos, Rhode Island Works, servicios de cuidado domiciliario para personas con demencia, entre otros.
“Nuestro objetivo es proporcionar tantos detalles como sea posible después de una revisión exhaustiva de seguridad y legal,” dijo Tardiff. “La ciberseguridad es compleja, y ciertamente no queremos divulgar información que pueda exponer aún más al estado a riesgos.”
Incluso para Deloitte ha sido difícil entender el contenido real de los datos robados. Tardiff indicó que la empresa ha procesado “alrededor de dos tercios” de la información comprometida. Si el ataque realmente extrajo cerca de 1 terabyte, eso significa que Deloitte ha descargado aproximadamente 666 gigabytes hasta ahora. Los datos han estado disponibles para descarga en el sitio web de los ciberdelincuentes desde el 30 de diciembre, lo que implica que la firma ha descargado unos 28 gigabytes diarios.
Sin embargo, las capturas de pantalla de los archivos publicados por los hackers variaban significativamente en tamaño, y funcionarios estatales señalaron que un servidor lento en la web oscura ha sido otro obstáculo para el análisis. No está claro cuán arduo ha sido el proceso para Deloitte de descargar, procesar y verificar los datos, pero Tardiff sugirió que la lenta recuperación del sistema ha absorbido todos los esfuerzos de la empresa.
Aun así, ¿cómo determinó el estado la gran cantidad de personas afectadas —657,000 residentes de Rhode Island, según una estimación reciente— si aún no ha visto todos los datos robados?
“Ese número se basó en la evidencia forense que identificó dónde el actor malicioso tuvo presencia dentro del sistema,” explicó Tardiff. “La cifra es un resumen de las áreas donde detectamos su acceso.”
Al ser consultado sobre si el estado continuará trabajando con Deloitte, Tardiff respondió: “Por ahora están obligados contractualmente a prestar servicios y, como hemos señalado en conferencias anteriores, tenemos en marcha un plan estratégico para explorar opciones que permitan reemplazar y modernizar el sistema.”
Esa propuesta de modernización incluía un documento de alcance de trabajo previamente público que había estado disponible, en dos ubicaciones distintas, en el sitio web de adquisiciones del estado desde al menos junio de 2024. El documento contenía un esquema detallado de la infraestructura de RIBridges, con listas de software y hardware, versiones y números de modelo que podrían ofrecer información sobre posibles vulnerabilidades. Rhode Island Current informó el miércoles que, tras varias consultas, esos documentos fueron eliminados de sus respectivas páginas de solicitud de propuestas.
Al ser consultado sobre los posibles riesgos de seguridad de ese documento anteriormente público, Tardiff repitió lo expresado por sus colegas del Departamento de Administración la semana pasada:
“No puedo comentar sobre riesgos de ciberseguridad percibidos o potenciales,” dijo, para luego añadir rápidamente, “ni sobre fortalezas, en ese sentido.”
