Un ciberataque dirigido a servidores heredados de su filial Cerner, habría comprometido información sensible de organizaciones de atención médica y hospitales en ese país, mientras crecen las críticas a la forma en que la empresa está manejando la crisis de seguridad.
Oracle Health, la división de tecnología sanitaria de Oracle, está enfrentando en estos días un grave incidente de ciberseguridad tras el robo de datos de pacientes en servidores de su filial Cerner. Los atacantes, que lograron acceder a los sistemas utilizando credenciales de clientes comprometidas, han comenzado a extorsionar a hospitales y organizaciones médicas en Estados Unidos.
La empresa detectó la brecha el 20 de febrero, cuando descubrió que actores maliciosos habían ingresado a servidores antiguos de Cerner que aún no habían sido migrados a Oracle Cloud. Sin embargo, los informes indican que el acceso inicial ocurrió alrededor del 22 de enero. La información extraída incluye historiales médicos electrónicos, lo que pone en riesgo la privacidad de miles de pacientes.
El ataque no ha sido reconocido públicamente por Oracle, pero las organizaciones afectadas han recibido notificaciones privadas de la compañía. «Le escribimos para informarle que, alrededor del 20 de febrero de 2025, nos enteramos de un incidente de ciberseguridad que implicó el acceso no autorizado a una parte de sus datos de Cerner que se encontraban en un servidor antiguo que aún no se había migrado a Oracle Cloud», se lee en una notificación enviada a los clientes afectados de Oracle Health.
Sin embargo, en las comunicaciones enviadas, Oracle ha informado que no notificará directamente a los pacientes cuyos datos han sido comprometidos. En su lugar, los hospitales y organizaciones deberán evaluar si la filtración infringe las regulaciones de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y, en consecuencia, asumir la responsabilidad de alertar a los afectados. No obstante, la empresa ha ofrecido asistencia en la identificación de los individuos comprometidos y ha proporcionado plantillas para facilitar la comunicación.
El manejo de la crisis por parte de Oracle ha generado preocupación entre los clientes afectados. Según medios especializados en ciberseguridad, la compañía ha restringido la comunicación sobre el incidente a llamadas telefónicas con su Oficina de Seguridad de la Información (CISO), excluyendo el uso de correos electrónicos. Además, la documentación enviada a los hospitales no llevaba membrete oficial, lo que ha causado incertidumbre entre las organizaciones de salud.
Mientras los hospitales lidian con el impacto del ataque, uno de los supuestos actores de amenazas detrás del ciberataque, identificado como «Andrew», habría comenzado a exigir pagos millonarios en criptomonedas para evitar la publicación o venta de los datos robados. Para ejercer presión, el ciberdelincuente ha creado sitios web en la red abierta donde expone detalles sobre la violación de seguridad.
Las investigaciones sobre el incidente están en curso, con el FBI involucrado en el caso. La incertidumbre persiste sobre si el ataque incluyó el uso de ransomware o si se trató exclusivamente de un robo de información.
Hasta el momento, Oracle no ha emitido un comunicado oficial sobre el incidente. La falta de transparencia y la respuesta tardía han generado cuestionamientos sobre la capacidad de la compañía para gestionar crisis de ciberseguridad en el ámbito sanitario.