La Policía Judicial de Portugal ha confirmado que más de 100.000 usuarios del Sistema Nacional de Salud (SNS) se han visto afectados por un ciberataque que permitió el acceso indebido a datos personales y registros sanitarios electrónicos. Las autoridades investigan todavía la autoría del ataque y no descartan ninguna hipótesis, aunque apuntan a que los ciberdelincuentes pudieron utilizar credenciales comprometidas de un médico y herramientas de inteligencia artificial para acelerar la extracción de información.
El caso fue explicado este lunes por José Ribeiro, director de la Unidad Nacional de Lucha contra el Cibercrimen y la Delincuencia Tecnológica de la Policía Judicial portuguesa, en una rueda de prensa en la que detalló que el acceso se habría producido mediante la suplantación de identidad de un profesional sanitario. Según las primeras pesquisas, un actor malintencionado habría obtenido las credenciales de este médico y las habría utilizado para consultar de forma masiva información de pacientes.
Acceso masivo a datos sanitarios
El incidente salió a la luz la semana pasada, cuando el Sistema Nacional de Salud notificó a la Policía Judicial que había detectado un acceso indebido a los registros sanitarios electrónicos de sus usuarios. Entre los datos comprometidos figuran datos personales de pacientes y también información relativa a menores, lo que eleva la sensibilidad del caso.
Aunque la investigación continúa abierta, las autoridades portuguesas ya han desactivado la cuenta presuntamente utilizada para acceder a los sistemas y han incautado los equipos comprometidos. Ribeiro señaló que, por el momento, no existe un sospechoso identificado ni un motivo claro detrás del ataque. También matizó que, con los datos actuales, resulta difícil considerar al médico titular de las credenciales como autor del ciberataque.
Uno de los puntos que más preocupa a los investigadores es la velocidad con la que se habría producido la extracción de datos. Según explicó la Policía Judicial, el ataque permitió recopilar en apenas unos días un volumen de información que, hace pocos meses, habría requerido mucho más tiempo. Por ese motivo, las autoridades sospechan que pudo haberse recurrido a inteligencia artificial para automatizar parte del proceso y aumentar la capacidad de análisis o extracción de información.
El riesgo de las credenciales sanitarias comprometidas
El ataque vuelve a poner sobre la mesa uno de los grandes riesgos de ciberseguridad en el sector sanitario: el abuso de credenciales legítimas. A diferencia de otros incidentes basados en malware o ransomware, este tipo de intrusión puede ser más difícil de detectar porque el acceso se produce, en apariencia, desde una cuenta autorizada.
En entornos sanitarios, las credenciales de médicos, enfermeros y personal administrativo pueden dar acceso a información especialmente sensible. Historias clínicas, datos de identificación, tratamientos, diagnósticos o información de menores son activos de alto valor tanto para el fraude como para la extorsión, la suplantación de identidad o la venta en mercados ilícitos.
Además, el uso de una cuenta real permite a los atacantes moverse con mayor discreción si los sistemas de monitorización no cuentan con controles suficientes para detectar patrones anómalos. Consultas masivas, accesos fuera del horario habitual, búsquedas sobre pacientes sin relación clínica aparente o conexiones desde ubicaciones inusuales son señales que deberían activar alertas en este tipo de plataformas.
El ciberataque al SNS portugués no solo plantea un problema técnico, sino también institucional. Los sistemas sanitarios públicos almacenan algunos de los datos más sensibles de la ciudadanía y, por tanto, cualquier acceso indebido puede dañar la confianza de los usuarios en la protección de su información.
La investigación se encuentra todavía en fase de recopilación de datos e identificación de posibles responsables. Mientras tanto, las autoridades trabajan para determinar el alcance real del incidente, comprobar si la información fue únicamente consultada o también extraída, y esclarecer si existen más cuentas o equipos afectados.
