El mercado de seguros de salud en línea para miembros del Congreso y residentes de Washington, DC fue objeto de un ataque que comprometió la información de identificación personal de potencialmente miles de legisladores, sus cónyuges, dependientes y empleados, según una carta de los líderes de la Cámara que informa a sus colegas sobre la violación y un memorando del principal funcionario de seguridad del Senado.
La Policía del Capitolio y la Oficina Federal de Investigaciones informaron al presidente Kevin McCarthy, republicano de California, y al representante Hakeem Jeffries, demócrata de Nueva York y líder de la minoría, sobre el ataque al mercado DC Health Link. Los investigadores federales pudieron comprar información personal sobre los miembros del Congreso y sus familias en la “web oscura” debido a la violación, decía la carta.
“En este momento, nuestra principal prioridad es proteger la seguridad de cualquier persona en la comunidad de Capitol Hill afectada por el ciberataque”, escribieron McCarthy y Jeffries el miércoles, calificando el incidente de “violación de seguridad atroz”.
“La Oficina del Director Administrativo estará en contacto con recursos importantes, incluidos los servicios de monitoreo de crédito y robo de identidad, que le recomendamos encarecidamente que utilice”, escribieron los legisladores.
Los datos de los senadores y su personal también se vieron comprometidos, según un memorando interno del sargento de armas del Senado. Ese memorando decía que los datos comprometidos incluían “nombres completos, fecha de inscripción, relación (propio, cónyuge, hijo) y dirección de correo electrónico, pero ninguna otra información de identificación personal”.
La causa, el tamaño y el alcance de la violación de datos que afectó a DC Health Link no se conocieron de inmediato, según los líderes de la Cámara, quienes escribieron que la policía y el FBI estaban “informándolos constantemente” sobre el asunto.
Pero el mercado de seguros de salud en línea atiende a unos 11 000 miembros del Congreso y su personal, y a casi 100 000 personas en general.
“Esta violación aumenta significativamente el riesgo de que los miembros, el personal y sus familias sufran robo de identidad, delitos financieros y amenazas físicas, que ya son una preocupación constante”, escribieron McCarthy y Jeffries. “Afortunadamente, las personas que venden la información parecen no darse cuenta del alto nivel de sensibilidad de la información confidencial que tienen en su poder y su relación con los miembros del Congreso. Esto ciertamente cambiará a medida que los informes de los medios publiciten más ampliamente la violación”.
Los líderes de la Cámara ahora exigen respuestas de Mila Kofman, directora de la Autoridad de Intercambio de Beneficios de Salud de DC, una asociación público-privada responsable del mercado de seguros de salud en línea del Distrito de Columbia. El Sr. McCarthy y el Sr. Jeffries enviaron una serie de preguntas directas a la Sra. Kofman el miércoles.
Entre ellos estaban por qué el mercado de seguros no había alertado formalmente a las personas cuyos datos estaban comprometidos; qué información específica del afiliado fue robada; y cuántos legisladores se vieron afectados.
En un comunicado el miércoles por la noche, Adam Hudson, un portavoz de la autoridad, confirmó la violación y dijo que “los datos de algunos clientes de DC Health Link han sido expuestos en un foro público”.
Hudson dijo que la agencia había iniciado una investigación.
“Al mismo tiempo, estamos tomando medidas para garantizar la seguridad y privacidad de la información personal de nuestros usuarios”, dijo el Sr. Hudson. “Estamos en el proceso de notificar a los clientes afectados y proporcionaremos servicios de monitoreo de identidad y crédito”.