Violación de datos en Doctors Imaging Group: 171.000 pacientes afectados
Nuevamente nos encontramos con una filtración masiva de datos sanitarios, esta vez en Florida. Doctors Imaging Group, un centro de radiología con instalaciones en Palatka y Gainesville, ha confirmado que sufrió un breach que afecta a más de 171.000 pacientes. Lo más alarmante es que los atacantes tuvieron acceso durante casi una semana y la notificación a los afectados ha llegado casi un año después del incidente.
La cronología de un desastre anunciado
El ataque ocurrió entre el 5 y el 11 de noviembre de 2024, pero la notificación oficial a los pacientes ha llegado en octubre de 2025. Casi un año completo donde la información personal y médica de miles de personas ha estado en manos de ciberdelincuentes sin que los afectados lo supieran.
La investigación sobre el alcance de la filtración no se completó hasta finales de agosto de 2025, momento en que Doctors Imaging Group notificó al Departamento de Salud y Servicios Humanos de EE.UU. (HHS) sobre la magnitud del incidente. Esta demora de casi un año entre el ataque y la notificación plantea serias preguntas sobre los protocolos de respuesta ante incidentes en el sector sanitario.
Información comprometida: el botín perfecto
Los datos expuestos en esta filtración son particularmente sensibles y completos, creando un perfil perfecto para el robo de identidad:
- Nombres y direcciones
- Fechas de nacimiento
- Números de la Seguridad Social
- Información financiera
- Números de expedientes médicos
- Datos de seguros médicos
- Información sobre tratamientos médicos
- Detalles de reclamaciones médicas
Este tipo de información no solo permite el fraude financiero tradicional, sino también estafas más sofisticadas y específicas del sector sanitario, como facturación médica fraudulenta o chantaje.
¿Ransomware o simple exfiltración?
Uno de los aspectos más desconcertantes de este caso es que aún no está claro si se trató de un ataque de ransomware o simplemente de una exfiltración de datos. Ningún grupo conocido de ciberdelincuentes ha reclamado la autoría del ataque, lo que dificulta determinar el motivo exacto detrás de la intrusión.
Esta incertidumbre es preocupante por dos razones: primero, dificulta la evaluación del riesgo real para los afectados; segundo, sugiere que el atacante podría estar operando bajo el radar, posiblemente preparándose para usar estos datos en futuros ataques o vendiéndolos silenciosamente en la dark web.
Un problema endémico en el sector sanitario
Aunque 171.000 afectados es una cifra alarmante, tristemente no es extraordinaria en el contexto del sector sanitario. Casos recientes muestran un patrón similar:
- Medical Associates of Brevard: casi 250.000 personas afectadas
- Wayne Memorial Hospital: 160.000 registros comprometidos
- Healthcare Services Group: una filtración masiva que impactó a 624.000 individuos
El sector sanitario se ha convertido en el objetivo preferido de los ciberdelincuentes, y no es difícil entender por qué: combina información personal valiosa con infraestructuras a menudo obsoletas y presupuestos de ciberseguridad insuficientes. Si añadimos la presión constante que enfrentan estos servicios y la criticidad de su disponibilidad, tenemos la tormenta perfecta.
Lecciones para organizaciones y pacientes
Para las organizaciones sanitarias, este caso refuerza la necesidad de:
- Mejorar los tiempos de detección y respuesta a incidentes
- Implementar estrategias de segmentación de redes que limiten el acceso a datos sensibles
- Actualizar los protocolos de notificación para informar a los afectados con mayor rapidez
Y para nosotros, los pacientes, este tipo de incidentes nos recuerda la importancia de:
- Monitorizar regularmente nuestros informes crediticios
- Estar atentos a comunicaciones sospechosas relacionadas con servicios médicos
- Solicitar informes periódicos a nuestras aseguradoras para detectar posibles servicios fraudulentos
La cuestión ya no es si nuestros datos se filtrarán, sino cuándo, y cómo de preparados estaremos para mitigar el impacto cuando ocurra.
