Un reciente ciberataque en un hospital francés ha expuesto los datos médicos de aproximadamente 750.000 pacientes. Este suceso ocurrió después de que un ciberatacante lograra acceder al sistema de gestión electrónica de registros médicos del centro.
El responsable del ataque, conocido bajo el seudónimo «nears» (anteriormente identificado como near2tlg), afirmó haber vulnerado varios establecimientos sanitarios en Francia, asegurando tener acceso a los registros de más de 1.500.000 pacientes.
Compromiso del sistema MediBoard
El atacante declaró haber irrumpido en el sistema MediBoard, una solución digital para la gestión de registros médicos proporcionada por Softway Medical Group, una compañía especializada en ofrecer herramientas electrónicas para el sector sanitario en Europa.
Softway Medical Group confirmó que una cuenta de MediBoard fue comprometida por los piratas informáticos. Sin embargo, la empresa aclaró que la intrusión no fue causada por una debilidad en su software ni por una configuración incorrecta. Según ellos, el acceso se logró mediante el uso de credenciales robadas pertenecientes al hospital afectado.
En un comunicado emitido a los medios de comunicación franceses y compartido por BleepingComputer, Softway Medical Group enfatizó que los datos comprometidos no estaban bajo su administración directa, sino que eran alojados por la infraestructura del hospital en cuestión.
«El 19 de noviembre de 2024, detectamos un ciberataque dirigido a un centro de salud que utilizaba nuestro software MediBoard«, explicaron en su declaración. «Queremos subrayar que los datos de salud afectados no estaban alojados por Softway Medical Group«.
Acceso y venta de datos sensibles
Tras este incidente, el ciberatacante puso a la venta lo que aseguró ser acceso a la plataforma MediBoard utilizada por diversos hospitales franceses. Entre los centros mencionados se encuentran el Centre Luxembourg, la Clinique Alleray-Labrouste, la Clinique Jean d’Arc, la Clinique Saint-Isabelle y el Hôpital Privé de Thiais.
El acceso ofrecido permitiría a los compradores no solo consultar datos sensibles relacionados con la salud y facturación de los pacientes, sino también modificar o programar citas y registros médicos. Esta capacidad de manipular información crítica incrementa los riesgos tanto para los pacientes como para las instituciones afectadas.
Para respaldar sus afirmaciones, el atacante puso a la venta una base de datos que contenía información personal y médica de 758.912 pacientes de un hospital francés no identificado.
Información comprometida
Entre los datos expuestos, supuestamente se encuentran:
- Nombre completo
- Fecha de nacimiento
- Género
- Dirección postal
- Número de teléfono
- Dirección de correo electrónico
- Médico asignado
- Recetas médicas
- Historial de la tarjeta sanitaria
El ciberatacante ofreció esta información a la venta a tres potenciales compradores. Sin embargo, al momento de esta publicación, no se había confirmado ninguna transacción. Aunque los datos no hayan sido vendidos aún, existe el riesgo de que puedan ser divulgados públicamente en plataformas de ciberdelincuencia, haciéndolos accesibles a una audiencia más amplia.
Impacto del incidente en los pacientes
La exposición de información tan detallada y sensible incrementa significativamente el riesgo de ataques de phishing, estafas personalizadas y manipulaciones mediante ingeniería social. Los ciberdelincuentes podrían utilizar estos datos para suplantar la identidad de las víctimas, acceder a otros sistemas o incluso realizar fraudes financieros.
Además, la confianza de los pacientes en las instituciones sanitarias puede verse gravemente afectada. Este tipo de violaciones no solo compromete la privacidad de las personas, sino que también pone en duda la capacidad de los sistemas hospitalarios para proteger información crítica.
Respuesta de Softway Medical Group
En declaraciones a BleepingComputer, un portavoz de Softway Medical Group reiteró que su software no fue la causa del incidente, sino que una cuenta con privilegios dentro del sistema del hospital fue comprometida.
«Podemos confirmar que nuestro software no es responsable«, explicó el portavoz. «El compromiso se produjo debido al uso de credenciales robadas para explotar las funcionalidades estándar de la solución. Esta hipótesis ha sido corroborada, y no está relacionada con una implementación incorrecta del software ni con un error humano«.
El papel de los ciberataques en el sector sanitario
Los ataques a instituciones de salud han aumentado drásticamente en los últimos años, convirtiendo este sector en uno de los objetivos favoritos de los ciberdelincuentes. Los hospitales manejan grandes volúmenes de datos sensibles, lo que los hace vulnerables y lucrativos para los atacantes.
Además, las organizaciones sanitarias a menudo operan con infraestructuras tecnológicas complejas y, en algunos casos, desactualizadas, lo que dificulta la implementación de medidas de ciberseguridad robustas.
Este caso pone de manifiesto la importancia de:
Fortalecer la protección de los sistemas. Esto incluye la adopción de soluciones de seguridad avanzadas y la implementación de mecanismos de autenticación multifactor.
Capacitar al personal. Los trabajadores del sector salud deben estar entrenados para reconocer intentos de phishing y manejar credenciales con mayor cuidado.
Colaboración entre entidades. Gobiernos, empresas privadas y organizaciones sanitarias deben trabajar juntos para prevenir y responder a este tipo de incidentes.
El ataque al hospital francés y la exposición de datos de casi 750.000 pacientes representan un recordatorio alarmante de los riesgos que enfrentan las instituciones de salud en la era digital.