el ransomware ataca de nuevo simonmed pierde datos de 12 millones de pacientes

El ransomware ataca de nuevo: SimonMed pierde datos de 1,2 millones de pacientes

PorCarlos Ribeiro

La ciberseguridad en el sector sanitario vuelve a estar en el punto de mira. SimonMed Imaging, uno de los mayores proveedores de imágenes médicas en Estados Unidos, acaba de confirmar un ataque de ransomware que ha afectado a más de 1,2 millones de personas. Un golpe que nos recuerda, una vez más, que el secuestro de datos no entiende de sectores ni de fronteras.

Anatomía de un ataque: así entraron los hackers

El incidente comenzó a finales de enero de 2025, cuando SimonMed descubrió que uno de sus proveedores había sido comprometido. La posterior investigación reveló algo peor: su propia red también había sido vulnerada.

Los atacantes no perdieron el tiempo. Entre el 21 de enero y el 5 de febrero, tuvieron acceso completo a los sistemas de la compañía. Tiempo suficiente para extraer un auténtico tesoro de información sensible.

Y cuando digo tesoro, no exagero. Estamos hablando de nombres, direcciones, fechas de nacimiento, información de seguros médicos, números de licencias de conducir, identificaciones gubernamentales, números de seguro social, datos de cuentas financieras, credenciales de autenticación y —lo que resulta especialmente grave en este contexto— información médica detallada.

La firma digital: el grupo Medusa

El 10 de febrero, el grupo de ransomware Medusa reivindicó el ataque, presumiendo de haber robado más de 200 GB de información. Su precio para no publicar estos datos: 1 millón de dólares. Una cifra nada sorprendente en el mundo del secuestro digital, donde las bandas criminales calculan meticulosamente cuánto puede permitirse pagar una organización para evitar el desastre reputacional y legal.

Lo curioso del caso es cómo evolucionó la información sobre el alcance del incidente. En marzo, SimonMed informó inicialmente al Departamento de Salud y Servicios Humanos de EE.UU. que solo 500 personas habían sido afectadas. Ahora, meses después, la cifra se ha disparado hasta 1,2 millones. Esta discrepancia no es inusual; las investigaciones forenses digitales suelen revelar gradualmente el verdadero alcance de los ataques.

El problema del «no hay evidencia»

Como suele ocurrir en estos casos, SimonMed ha declarado que «no hay evidencia de que la información comprometida haya sido utilizada para fraude o robo de identidad».

Esta frase, que aparece en casi todas las notificaciones de brechas de seguridad, merece que nos detengamos un momento. Técnicamente puede ser cierta, pero resulta poco tranquilizadora cuando hablamos de un grupo de ransomware.

La realidad es que estos grupos suelen seguir dos caminos cuando una víctima no paga: o filtran públicamente la información para demostrar que sus amenazas son serias, o venden esos datos a otros cibercriminales en mercados oscuros. En ambos casos, el daño potencial para las víctimas es considerable y puede manifestarse meses o incluso años después del incidente inicial.

¿Por qué el sector sanitario es un objetivo prioritario?

El caso de SimonMed no es aislado. El sector sanitario se ha convertido en uno de los objetivos preferidos de los grupos de ransomware, y hay razones de peso para ello:

Datos de alto valor

La información médica tiene un valor muy superior al de otros tipos de datos en el mercado negro. Mientras que un número de tarjeta de crédito robado puede valer unos pocos euros, un historial médico completo puede alcanzar precios mucho más altos. Esto se debe a su utilidad para múltiples tipos de fraude: desde estafas de seguros hasta extorsión.

Sistemas críticos y presión temporal

Los hospitales y centros médicos no pueden permitirse el lujo de tener sus sistemas caídos durante días. Cuando la atención al paciente está en juego, la presión para pagar el rescate y recuperar el acceso rápidamente es mucho mayor, lo que aumenta las probabilidades de que los atacantes consigan su objetivo.

Infraestructura tecnológica a menudo obsoleta

Muchas organizaciones sanitarias operan con sistemas antiguos, algunos incluso con sistemas operativos que ya no reciben actualizaciones de seguridad. Esto crea vulnerabilidades que los atacantes pueden explotar con relativa facilidad.

Lecciones para todos

El caso de SimonMed nos deja algunas enseñanzas importantes, tanto para organizaciones como para usuarios:

  1. La cadena de suministro es crucial: El ataque comenzó por un proveedor comprometido. Las empresas deben evaluar no solo su propia seguridad, sino también la de sus socios y proveedores.

  2. La cifra inicial siempre crece: Cuando una empresa anuncia que «solo X personas» han sido afectadas tras un ataque, conviene tomar ese número como provisional. Las investigaciones suelen revelar impactos mucho mayores con el tiempo.

  3. El cifrado no es el único riesgo: El ransomware moderno no solo cifra datos; primero los roba. Esto significa que incluso con buenas copias de seguridad, el riesgo de filtración persiste.

  4. Vigilancia a largo plazo: Si tus datos han sido comprometidos en un incidente como este, la vigilancia debe extenderse durante años, no meses. El fraude de identidad puede producirse mucho después de la brecha original.

Mientras escribo estas líneas, otros ataques similares están ocurriendo. El reciente incremento de incidentes contra hospitales, aseguradoras y centros médicos debería ser una llamada de atención para todo el sector. La pregunta ya no es si sufrirán un ataque, sino cuándo ocurrirá y cómo de preparados estarán para afrontarlo.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *