Un importante proveedor de servicios de ambulancias en el estado estadounidense de Wisconsin ha confirmado que un ciberataque ocurrido el año pasado provocó la filtración de datos personales y médicos de más de 235.000 personas.
La empresa Bell Ambulance, con sede en Milwaukee y considerada la mayor operadora de ambulancias de la región, notificó oficialmente la brecha de seguridad a las autoridades estatales y a los afectados.
Según los documentos presentados ante organismos de supervisión de protección de datos en Estados Unidos, un total de 237.830 personas vieron comprometida su información tras la intrusión detectada en los sistemas informáticos de la compañía.
La empresa identificó la actividad maliciosa en febrero de 2025, momento en el que se activaron protocolos internos de respuesta ante incidentes.
Bell Ambulance presta servicio en varias ciudades del estado, incluyendo Milwaukee, Wauwatosa, Waukesha, Racine, Mount Pleasant y Kenosha.
Con más de 750 empleados, la organización gestiona alrededor de 140.000 intervenciones médicas de emergencia cada año, lo que la convierte en una pieza clave del sistema sanitario regional.
Información médica y financiera entre los datos robados
La investigación interna reveló que los atacantes lograron acceder a bases de datos que contenían información altamente sensible. Entre los datos comprometidos figuran números de la Seguridad Social, permisos de conducir, registros médicos, datos de seguros sanitarios y detalles de cuentas financieras.
Este tipo de información resulta especialmente valiosa para los ciberdelincuentes, ya que puede utilizarse para fraudes financieros, suplantación de identidad o incluso extorsión.
Las cartas enviadas por la compañía a los afectados explican que el incidente fue detectado el 13 de febrero de 2025. Tras descubrir la intrusión, la empresa contrató a especialistas externos en ciberseguridad para analizar el alcance del ataque, reforzar sus sistemas y recuperar las operaciones.
Las primeras notificaciones a los usuarios comenzaron en abril de ese mismo año, pero las investigaciones posteriores permitieron identificar nuevas víctimas durante el otoño, lo que elevó la cifra final de afectados a más de 237.000 personas.
El grupo Medusa detrás del ataque
El ataque fue atribuido a la banda de ransomware conocida como Medusa, un grupo criminal especializado en extorsión digital que opera bajo el modelo denominado ransomware como servicio.
Este esquema permite que diferentes afiliados utilicen la infraestructura del grupo para lanzar ataques a cambio de compartir parte de los beneficios obtenidos.
Según diversas investigaciones de ciberseguridad, los atacantes afirmaron haber sustraído aproximadamente 219 gigabytes de información de los sistemas de Bell Ambulance.
Tras la intrusión, el grupo exigió un rescate de 400.000 dólares a cambio de no publicar los datos robados y proporcionar herramientas para descifrar los archivos comprometidos.
Las campañas de ransomware contra organizaciones sanitarias han aumentado de forma significativa en los últimos años. Los hospitales, clínicas y servicios de emergencia suelen operar con infraestructuras tecnológicas complejas y con una elevada dependencia de sistemas digitales, lo que los convierte en objetivos especialmente atractivos para los ciberdelincuentes.
Advertencias del FBI sobre el aumento de ataques
Pocas semanas después del incidente que afectó a Bell Ambulance, el FBI y otras agencias federales estadounidenses emitieron una alerta conjunta sobre el incremento de ataques vinculados al grupo Medusa.
Las autoridades señalaron que la organización criminal había dirigido campañas contra entidades públicas y empresas privadas en varios estados del país.
Entre los objetivos identificados se encuentran administraciones locales, centros médicos, compañías industriales e incluso organizaciones deportivas.
Según los informes oficiales, los ataques se han detectado en territorios como Minnesota, Illinois y Texas, además de afectar a organizaciones vinculadas al mundo del motor como la liga NASCAR.
El FBI señala que el grupo Medusa surgió en junio de 2021 y desde entonces ha estado implicado en más de 300 incidentes dirigidos contra infraestructuras consideradas críticas. Estas incluyen organizaciones sanitarias, fabricantes industriales, empresas tecnológicas y entidades gubernamentales.
Uno de los aspectos más preocupantes del funcionamiento de este grupo es su estrategia de triple extorsión. En algunos casos investigados por las autoridades, después de que una víctima pagara el rescate solicitado, otro actor vinculado al mismo grupo afirmaba que el pago había sido interceptado y exigía una nueva cantidad para proporcionar el supuesto descifrador legítimo.
Este tipo de tácticas demuestra, sin duda, el alto grado de sofisticación y organización de las redes criminales dedicadas al ransomware.
