Más de 900 mil pacientes podrían haber sido afectados por el ataque de ransomware que comprometió información de pruebas de ITS y cáncer en hospitales de Londres. La empresa Synnovis confirmó que no pagó rescate y comenzará a informar a las instituciones sanitarias antes del 21 de noviembre.
A casi 17 meses del devastador ataque de ransomware que afectó a los hospitales del Servicio Nacional de Salud del Reino Unido (NHS), la empresa Synnovis -proveedora de servicios de patología- confirmó que ha iniciado el proceso de notificación a las organizaciones cuyos datos fueron comprometidos. El ataque, atribuido al grupo cibercriminal Qilin, se produjo en junio de 2024 y derivó en la publicación de información médica altamente sensible, incluyendo pruebas de cáncer y enfermedades de transmisión sexual.
Synnovis explicó que su investigación “ha sido larga y compleja” debido a la naturaleza del material robado. “El conjunto de datos era desestructurado, incompleto y fragmentado, lo que obligó a los expertos forenses a emplear plataformas especializadas y procesos personalizados para reconstruirlo”, indicó la compañía en un comunicado.
La empresa prevé concluir la notificación a todas las organizaciones afectadas antes del 21 de noviembre de 2025, aunque aclaró que no contactará directamente a los pacientes, ya que esa responsabilidad recae en los hospitales y clínicas del NHS, según las leyes de protección de datos del Reino Unido.
Los primeros análisis de especialistas en brechas de datos estiman que más de 900 mil personas podrían estar entre los afectados. Los archivos filtrados incluirían nombres, fechas de nacimiento, números del NHS, información de contacto y, en algunos casos, formularios de patología e histología que detallan síntomas e historiales clínicos de carácter íntimo.
El ataque tuvo consecuencias inmediatas en la atención médica. Según reportes oficiales, las operaciones de Synnovis resultaron gravemente interrumpidas en hospitales londinenses como King’s College Hospital, St Thomas’, Guy’s, Royal Brompton y Evelina London Children’s Hospital. Además, se cancelaron o postergaron más de 800 cirugías y 700 consultas ambulatorias, además de provocar escasez de sangre en la capital británica.
La empresa reiteró que no pagó rescate a los atacantes, una decisión tomada junto a sus socios del NHS. “Esta determinación refleja nuestro compromiso con los principios éticos y con no financiar actividades delictivas que amenazan la infraestructura crítica, la privacidad de los pacientes y la seguridad nacional”, enfatizó Synnovis.
El grupo Qilin, que surgió en 2022 como una operación de ransomware como servicio (RaaS), ha sido vinculado a más de 300 ataques globales, incluyendo compañías de gran tamaño como Yangfeng y Lee Enterprises. Ciaran Martin, primer director del National Cyber Security Centre (NCSC), confirmó que el ataque a Synnovis forma parte de esta campaña.