como el ransomware interlock puso de rodillas a una red sanitaria

Cómo el ransomware Interlock puso de rodillas a una red sanitaria

PorCarlos Ribeiro

Si alguna vez has pensado que el ransomware es cosa de películas o que solo afecta a grandes corporaciones, lo que acaba de suceder en Ohio debería hacerte cambiar de opinión. En pleno 2025, una red sanitaria entera ha visto comprometida casi un terabyte de información sensible. Y no, no es ciencia ficción.

Kettering Health: anatomía de un ataque devastador

El grupo de ciberdelincuentes Interlock acaba de publicar 941 GB de datos supuestamente robados de la red sanitaria Kettering Health en Ohio. Para que nos entendamos: esto equivale a unos 200.000 archivos PDF de tamaño medio o aproximadamente 300.000 fotos de alta resolución. Una cantidad brutal de información.

Hace aproximadamente dos semanas, esta organización sin ánimo de lucro anunció la cancelación de procedimientos médicos mientras lidiaba con un apagón de sistemas causado por un ciberataque. El incidente dejó inaccesibles ciertos sistemas de atención al paciente y afectó al centro de llamadas, aunque el proveedor de atención médica mantuvo abiertos los servicios de urgencias y las clínicas.

La lenta recuperación de los sistemas

La historia de la recuperación de Kettering Health es la de una carrera contrarreloj. En menos de una semana tras el ataque, la organización pudo anunciar que los pacientes podían acudir a sus citas programadas y que se podía proporcionar atención sin cita previa a los pacientes habituales.

Después de restaurar progresivamente el funcionamiento completo de los departamentos de emergencia y otros servicios de atención al paciente, la organización anunció este lunes que «había lanzado con éxito los componentes principales de su sistema Epic de registros médicos electrónicos (EHR)».

«Este lanzamiento restablece la capacidad de Kettering Health para actualizar y acceder a los registros médicos electrónicos, facilitar la comunicación entre los equipos de atención y coordinar la atención al paciente con mayor rapidez y claridad. Este es un paso significativo en nuestra restauración de todo el sistema», explicó la organización.

Los secuestradores digitales: el grupo Interlock

El miércoles, el grupo Interlock añadió a Kettering Health a su sitio de filtraciones basado en Tor, confirmando las especulaciones iniciales de que era responsable del ataque.

Aunque el proveedor sanitario ha mantenido silencio sobre el tipo de ciberataque del que fue víctima, parece que no cedió a los intentos de extorsión del actor de la amenaza y no pagó rescate. Y esto, créeme, es una decisión que tiene tanto de valiente como de arriesgada.

El botín digital: casi un millón de archivos robados

Interlock se jactó de haber robado 941 GB de datos de la organización, incluyendo tarjetas de identificación, informes financieros, datos de pagos y mucho más. En total, fueron exfiltrados 732.490 archivos en 20.418 carpetas, según afirma el grupo de ransomware.

En respuesta a una consulta de SecurityWeek, Kettering Health confirmó que Interlock probablemente estuvo involucrado en el ciberataque:

«El martes 20 de mayo de 2025, Kettering Health se vio afectada por un incidente de ciberseguridad, que tenemos motivos para creer que fue lanzado por el grupo de ransomware Interlock. Esto provocó una respuesta inmediata y exhaustiva para garantizar la seguridad de nuestros sistemas y la integridad de nuestros datos».

Las secuelas del secuestro de datos

La organización afirma que ha erradicado las herramientas del grupo y los mecanismos de persistencia, ha parcheado todos los sistemas y ha mejorado su postura de seguridad para prevenir incidentes similares.

«Tenemos plena confianza en que nuestros dispositivos conectados a la red están seguros y nuestras conexiones con nuestros socios están completamente protegidas», dijo el proveedor de atención médica.

El historial criminal de Interlock

Activo desde al menos octubre de 2024, se cree que Interlock ha hecho aproximadamente 40 víctimas hasta la fecha, incluyendo la empresa de diálisis renal DaVita, National Presto Industries y la Universidad Texas Tech. Las infecciones de NodeSnake RAT en dos universidades del Reino Unido también parecen estar vinculadas a Interlock.

Esto nos muestra un patrón preocupante: los grupos de ransomware están cada vez más organizados y sus ataques son cada vez más sofisticados. Ya no hablamos de aficionados que lanzan ataques aleatorios, sino de verdaderas organizaciones criminales con objetivos claros.

El cifrado como arma: lecciones aprendidas

Este incidente debería servir como una seria llamada de atención para todas las organizaciones, especialmente aquellas que manejan datos sensibles. El cifrado, que normalmente utilizamos para proteger información, se convierte en un arma en manos de los ciberdelincuentes.

La realidad es que ninguna organización está completamente a salvo del ransomware. Sin importar el tamaño, la industria o la ubicación, cualquier entidad con datos valiosos puede convertirse en objetivo. Y en el caso de las instituciones sanitarias, el impacto va mucho más allá de lo económico: hablamos de vidas humanas potencialmente en riesgo.

Para las organizaciones, la pregunta ya no es «¿nos atacarán?» sino «¿cuándo nos atacarán y estaremos preparados?». Y aunque la prevención es fundamental, tener un plan de respuesta robusto es igualmente importante. Porque como ha demostrado Kettering Health, la recuperación después de un ataque puede ser un proceso largo y doloroso.

Y para todos nosotros, usuarios finales, este caso nos recuerda la importancia de proteger nuestros datos personales y de ser conscientes de a quién confiamos nuestra información más sensible. Porque al final del día, nuestros datos son tan valiosos como el dinero en nuestras cuentas bancarias, a veces incluso más.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *