Una intrusión detectada en mayo del 2025 en el sistema hospitalario Covenant Health reveló, meses después, un impacto mucho mayor al estimado inicialmente, con información personal y médica comprometida y efectos operativos en varios hospitales.
La red hospitalaria Covenant Health, con presencia en varios estados del noreste de Estados Unidos, confirmó que 478.188 personas se vieron afectadas por una brecha de datos originada en un ciberataque ocurrido en mayo de 2025. La cifra, revisada tras meses de análisis forense, contrasta fuertemente con la estimación inicial entregada a las autoridades en julio, cuando se informó que el incidente habría comprometido los datos de menos de 8 mil personas.
Covenant Health es un sistema de salud sin fines de lucro de origen católico con sede en Massachusetts, que opera hospitales, centros de rehabilitación, residencias asistidas y servicios de atención comunitaria en Nueva Inglaterra y parte de Pensilvania.
En una copia del aviso distribuidos a los afectados por el incidente, la entidad señaló que el alcance real del ataque solo pudo determinarse tras completar “la mayor parte del análisis de datos” realizado por especialistas externos.
El incidente fue detectado el 26 de mayo de 2025, cuando los equipos de TI identificaron anomalías en la conectividad de los sistemas. Posteriormente, la investigación determinó que un actor no autorizado había logrado acceder a la red el 18 de mayo, permaneciendo en el entorno durante más de una semana antes de ser descubierto. Como medida de contención, la organización interrumpió el acceso a sus sistemas digitales en hospitales, clínicas y centros asociados.
En la notificación a los afectados, la red de salud indicó que contrató a especialistas forenses independientes para determinar qué información fue comprometida y cuántas personas resultaron impactadas. “Esa revisión aún continúa”, señaló la entidad, sin detallar un plazo para la conclusión definitiva del proceso.
El ataque fue atribuido públicamente por el grupo de ransomware Qilin, que a fines de junio aseguró haber sustraído 852 gigabytes de información, equivalentes a cerca de 1,35 millones de archivos. Aunque la organización no confirmó ese volumen, sí reconoció que los datos potencialmente expuestos incluyen nombres, direcciones, fechas de nacimiento, números de Seguro Social, números de registros médicos, información de seguros de salud y antecedentes clínicos, como diagnósticos, fechas y tipos de tratamiento.
Además del impacto en la confidencialidad de los datos, el incidente tuvo consecuencias operativas. En hospitales de los estados de Maine y New Hampshire se registraron retrasos en la atención, limitaciones en los servicios de laboratorio y un retorno temporal a procesos manuales, como el uso exclusivo de órdenes en papel para ciertos procedimientos.
En el comunicado, Covenant Health también aseguró haber tomado medidas para reducir el riesgo de nuevos incidentes. “Desde el incidente, hemos reforzado la seguridad de nuestro entorno de TI para ayudar a prevenir situaciones similares en el futuro”, afirmó la organización. También indicó que notificó oportunamente a las autoridades federales y a los reguladores estatales correspondientes.
Las notificaciones a los pacientes se realizaron en dos etapas: una primera en julio de 2025 y una segunda a partir del 31 de diciembre, cuando cientos de miles de personas comenzaron a recibir cartas informando sobre el posible compromiso de su información. Como acción de mitigación, la entidad ofrece 12 meses de servicios gratuitos de monitoreo de identidad y crédito, además de asistencia especializada para consultas relacionadas con la brecha.
El grupo de ransomware Qilin está vinculado a numerosos ataques contra organizaciones de salud a nivel internacional, incluso en Chile, donde habría sido responsable del incidente que afectó al ISP.