Fideicomiso del NHS de Essex confirma violación de Qilin dos años después

Fideicomiso del NHS de Essex confirma violación de Qilin dos años después

Un fideicomiso del NHS de Essex se ha convertido en la última organización sanitaria en confirmar que los registros de pacientes fueron robados durante un ataque de ransomware Qilin, y la revelación llega aproximadamente dos años después de que el grupo atacara por primera vez los sistemas del NHS. El creciente problema de protección de datos de pacientes tras las filtraciones de ransomware en el NHS ya no es solo un asunto técnico para los equipos informáticos del hospital. Para los pacientes cuyos historiales fueron sustraídos, el reloj del posible fraude, la suplantación de identidad y el uso indebido de datos lleva ya mucho tiempo corriendo.

Esta revelación recuerda que los incidentes de ransomware en la atención sanitaria rara vez se desarrollan en un calendario ordenado. Las víctimas se identifican en oleadas, las notificaciones llegan tarde y el alcance completo de lo robado puede tardar meses, a veces años, en determinarse.

¿Qué fideicomisos del NHS han confirmado registros robados?

El grupo Qilin atacó inicialmente al proveedor del NHS Synnovis en junio de 2024, interrumpiendo los servicios de transfusión de sangre y las operaciones de patología en varios hospitales de Londres, incluidos el King's College Hospital y el Guy's and St Thomas'. Ese ataque provocó la cancelación de operaciones y obligó a los médicos a trabajar sin acceso a resultados de pruebas clínicas críticos.

La confirmación del fideicomiso de Essex supone una ampliación de esa huella. A medida que los hospitales siguen auditando sus sistemas y cotejando los volcados de datos robados, más fideicomisos están llegando al punto en que pueden notificar formalmente a los pacientes afectados. Las categorías de datos involucradas en este tipo de violaciones del NHS suelen incluir nombres, fechas de nacimiento, números del NHS, notas clínicas, resultados de pruebas y, en algunos casos, detalles financieros vinculados a las cuentas de los pacientes.

Lo que hace tan preocupante el calendario es que los pacientes notificados ahora han estado expuestos a un uso indebido potencial durante hasta dos años sin saberlo. Los historiales médicos robados no caducan como los números de tarjetas de crédito. Conservan su valor en los mercados criminales porque contienen datos personales inmutables que no se pueden cambiar.

Por qué los historiales médicos son un objetivo de alto valor para el ransomware

Los historiales médicos alcanzan sistemáticamente precios más altos en los foros criminales que las credenciales financieras por sí solas. Un único registro médico puede contener todo lo que un defraudador necesita para cometer un robo de identidad: información del seguro, historial de medicación y datos de familiares cercanos. Para los operadores de ransomware como Qilin, las organizaciones sanitarias ofrecen un doble incentivo: la presión de la interrupción para pagar rápidamente (porque la actividad clínica depende de datos en vivo) y un conjunto de datos muy comercializable para vender si no se paga el rescate.

El NHS es un objetivo especialmente atractivo porque su escala es enorme, sus sistemas son heterogéneos entre los distintos fideicomisos y los proveedores externos suelen actuar como el eslabón más débil. El ataque a Synnovis demostró exactamente ese patrón. En lugar de vulnerar directamente un hospital, los atacantes comprometieron a un proveedor con una integración profunda en múltiples redes hospitalarias.

Los ataques de ingeniería social son una consecuencia natural de este tipo de violación. Una vez que los atacantes tienen datos de pacientes verificados, pueden elaborar mensajes de phishing o llamadas de vishing muy convincentes, una táctica observada en otros incidentes de alto perfil. En el ataque de vishing de Cushman & Wakefield en el que ShinyHunters afirmó haber obtenido 500.000 registros, se utilizaron datos organizativos robados para dar credibilidad a las llamadas fraudulentas dirigidas al personal. Los pacientes del NHS se enfrentan a un riesgo similar cuando sus datos personales de salud acaban en manos criminales.

Cómo pueden protegerse los pacientes al usar los portales en línea del NHS

Para la mayoría de los pacientes, la pregunta inmediata es práctica: ¿qué puedo hacer yo al respecto? La respuesta empieza por reconocer que tus propios hábitos de acceso importan, aunque la violación se haya producido en el lado del proveedor.

Los pacientes del NHS gestionan cada vez más citas, resultados de pruebas y recetas repetidas a través de plataformas como la aplicación del NHS y Patient Access. Estos portales contienen datos clínicos sensibles, y acceder a ellos a través de redes no seguras o compartidas crea un punto de exposición adicional, sumado a los riesgos que ya existen dentro de la propia infraestructura del NHS.

En primer lugar, comprueba si has recibido alguna notificación de violación por parte de tu fideicomiso. Si la has recibido, tómatela en serio y supervisa tus cuentas en busca de actividad inusual, como facturas médicas inesperadas, consultas del seguro o solicitudes de verificación de identidad que no hayas iniciado.

En segundo lugar, utiliza contraseñas seguras y únicas para cada cuenta de salud y activa la autenticación de dos factores donde el servicio lo permita. Los ataques de relleno de credenciales, en los que los atacantes utilizan nombres de usuario y contraseñas de una violación para acceder a cuentas en otros sitios, son una secuela habitual de los grandes robos de datos sanitarios.

En tercer lugar, desconfía de cualquier contacto no solicitado que afirme ser del NHS y te pida que verifiques datos personales. Las comunicaciones legítimas del NHS nunca te pedirán contraseñas ni información financiera por teléfono o por correo electrónico.

Buenas prácticas de cifrado y VPN para datos médicos en redes wifi públicas

Si accedes con regularidad a los portales del NHS u otras cuentas sanitarias mientras viajas o utilizas una red wifi pública, cifrar tu conexión es un paso sencillo que reduce un riesgo real. Las redes públicas de cafeterías, bibliotecas, hospitales y centros de transporte no están protegidas y el tráfico que circula por ellas puede ser interceptado.

El uso de una VPN de confianza crea un túnel cifrado entre tu dispositivo e internet, lo que dificulta considerablemente que alguien en la misma red pueda capturar tus credenciales de inicio de sesión o tus tokens de sesión. Esto no protege contra las violaciones que se producen dentro de los propios sistemas del NHS, pero cierra una vía de robo oportunista.

Además del uso de la VPN, mantener actualizados el sistema operativo y las aplicaciones de tu dispositivo corrige las vulnerabilidades que el malware explota para interceptar los datos incluso antes de que se aplique el cifrado. El cifrado completo del disco en tu teléfono u ordenador portátil significa que, si pierdes o te roban el dispositivo, los datos de inicio de sesión del NHS almacenados en caché no se podrán leer de inmediato.

Qué significa esto para ti

El creciente recuento de violaciones del NHS por parte de Qilin es una crisis de divulgación a cámara lenta. Los fideicomisos aún están cartografiando lo robado, y pacientes que se vieron afectados hace años no están recibiendo la confirmación hasta ahora. Ese desfase crea una amplia ventana durante la cual los historiales robados pueden circular sin que las víctimas lo sepan.

Lo más importante que puedes extraer de esta situación es que la protección de los datos de los pacientes frente a las violaciones de ransomware en el NHS no es pasiva. No puedes impedir que un grupo de ransomware ataque a un proveedor hospitalario. Sin embargo, sí puedes reducir lo que los atacantes pueden hacer con tus datos una vez que están fuera.

Empieza por auditar en qué plataformas del NHS y de atención sanitaria tienes cuentas, asegúrate de que cada una tenga una contraseña única y autenticación de dos factores, y trata cualquier comunicación no solicitada relacionada con la salud con un escepticismo extremo. Cuando te conectes a esas plataformas fuera de casa, utiliza una conexión cifrada. Revisar periódicamente tus propios hábitos de seguridad de los datos es la respuesta más directa a un entorno en el que las violaciones masivas de la atención sanitaria son una realidad recurrente, no un acontecimiento excepcional.