Grupo cibercriminal Cl0p publicó facturas históricas con nombres y direcciones robadas en agosto pasado al operador Barts Health NHS Trust aprovechando falla en Oracle E-Business Suite. La entidad británica busca frenar su difusión.
Barts Health NHS Trust, uno de los principales operadores hospitalarios del Reino Unido, confirmó recientemente que fue víctima de una brecha de seguridad que expuso información personal de pacientes, ex-trabajadores y proveedores, tras un ataque del grupo de ransomware Cl0p que aprovechó una vulnerabilidad de día cero en el software Oracle E-Business Suite.
De acuerdo con la información entregada por la propia institución, los atacantes accedieron a una base de datos que contenía registros de facturación correspondientes a varios años. Entre los datos comprometidos se encuentran nombres completos y direcciones de personas que pagaron por tratamientos o servicios en hospitales de Barts Health. También se vieron afectados antiguos trabajadores que mantenían deudas vinculadas a esquemas de “salary sacrifice” o ajustes por sobrepagos, así como proveedores cuyos datos ya eran públicos en muchos casos.
El incidente tuvo su origen en agosto de 2025, cuando Cl0p explotó la vulnerabilidad crítica CVE-2025-61882 en Oracle E-Business Suite, utilizada por organizaciones de todo el mundo para automatizar procesos financieros y administrativos. No obstante, el trust aseguró que no tuvo indicios de la filtración hasta noviembre, momento en que los archivos robados fueron publicados en el portal de filtraciones de la banda en la dark web.
Además de los datos propios, la base de datos comprometida incluía archivos relacionados con servicios contables que Barts Health presta desde abril de 2024 a Barking, Havering and Redbridge University Hospitals NHS Trust, lo que amplió el número potencial de afectados. Ambas organizaciones informaron que están trabajando conjuntamente para reducir el impacto de la brecha.
Barts Health indicó que sus sistemas clínicos y los registros electrónicos de los pacientes no fueron comprometidos y que su infraestructura principal de TI permanece segura. Sin embargo, hay coincidencia entre varios expertos en ciberseguridad que los datos expuestos podrían ser utilizados para campañas de ingeniería social, suplantación de identidad o fraudes de pago, incluso si no permiten un acceso directo a cuentas.
La organización notificó formalmente el incidente a NHS England, al National Cyber Security Centre, a la Policía Metropolitana y a la Oficina del Comisionado de Información (ICO). Paralelamente, inició gestiones ante el Alto Tribunal para obtener una orden que prohíba la publicación y difusión de los datos robados, aunque reconoció que este tipo de medidas tienen un alcance limitado frente a redes criminales internacionales.
Barts Health recomendó a los pacientes que revisen sus facturas para identificar qué información podría estar en riesgo y mantenerse alertas ante mensajes o llamadas no solicitadas que soliciten pagos o datos sensibles. La institución se disculpó públicamente y anunció el refuerzo de sus controles de seguridad con proveedores para evitar incidentes similares en el futuro.