En junio de 2024, Synnovis, un proveedor de servicios de laboratorio para los principales hospitales de Londres fue víctima de un ransomware que impactó en la prestación de servicios críticos. El grupo cibercriminal ruso Qilin fue sindicado como responsable del incidente.
El 4 de junio de 2024, informamos sobre un ransomware que provocó la interrupción generalizada de los servicios del Sistema Nacional de Salud (NHS) en los hospitales de Londres, postergando 10.152 citas para pacientes ambulatorios agudos y 1.710 procedimientos electivos en centros como el King’s College Hospital y en el Guy’s and St Thomas. Además, como parte de una evaluación inicial como consecuencias del incidente, se determinó que hubo cinco casos de pacientes con daños moderados y otros 114 con daños leves.
Pero un nuevo informe conocido a principios de 2025 corrigió esas cifras y reveló que en al menos cuatro distritos de Londres se registraron dos casos de pacientes daños graves o permanentes, 11 pacientes con daños moderados y más de 120 casos de pacientes con daños leves como consecuencia directa del ciberataque.
De acuerdo a un documento al que tuvo acceso el medio Bloomberg, la política del NHS define un daño grave en un paciente aquellos cuyo “impacto a largo plazo o permanente en el funcionamiento físico, mental o social o a una reducción de la esperanza de vida”, mientras que el daño moderado ocurre cuando existe un “impacto a medio plazo en el funcionamiento físico, mental o social” de un paciente y este “no necesita una intervención inmediata para salvar su vida”, pero si requerirá probablemente de cuidados de seguimiento. El daño bajo, en tanto, se relaciona con un impacto leve y a corto plazo en la salud.
Quien se refirió al tema fue el Doctor Saif Abed, socio fundador y director de servicios de asesoramiento sobre ciberseguridad en The AbedGraham Group, quien señaló el medio DigitalHelth que “estas cifras son sustanciales y muestran que un ciberataque puede ser catastrófico y cambiar la vida de las personas”, y agregó que “resaltan el costo humano de los ataques cibernéticos que están plagando el NHS y esto es probablemente solo la punta del iceberg”.
El experto exhortó además a realizar una investigación pública sobre la ciberseguridad del NHS y la seguridad de los pacientes con carácter de urgencia o, al menos, una sesión del Comité Selecto de Salud en el Parlamento sobre el tema.
Uno de los casos que logró alta notoriedad en su momento, involucró a una paciente de 36 años identificado como Johanna, quien estaba siendo tratada por un agresivo cáncer de mama. Antes del incidente, los médicos le informaron que podría practicarse una mastectomía modificada, lo que le permitiría conserva la piel, aureola y pezón del seno, lo que le permitiría una reconstrucción inmediata, pero el ciberataque modificó radicalmente el escenario, debiendo optar entre posponer el procedimiento hasta que los sistemas volvieran a la normalidad, o someterse a una mastectomía radical. La paciente optó por esta última alternativa al entender que, dada la severidad de su cáncer, podría poner en riesgo su vida. “Tengo dos hijos y no quiero morir”, comentó en su momento el medio británico The Register.
Además del impacto en los pacientes, el ciberataque tuvo costos económicos y en la seguridad de la información. De acuerdo a un balance de la compañía entregado a comienzos de este año, el ciberataque a Synnovis, la plataforma de gestión utilizada por el NHS, provocó una pérdida estimada de 32,7 millones de libras. Adicionalmente, la empresa estaría investigando si datos de pacientes se filtraron a la dark web.
Tras el reporte de Bloomber, Synnovis, King’s College Hospital NHS Foundation Trust y Guy’s and St Thomas’ NHS Foundation Trust se negaron a hacer comentarios sobre las cifras de daños a los pacientes.
Pese a ello, un portavoz del NHS del sureste de Londres dijo a Bloomber que aunque el ataque a Synnovis había sido muy perjudicial y logró mermar la capacidad de toma de muestras, destacó que “el NHS cuenta con amplios procedimientos establecidos (y una amplia experiencia) para abordar incidentes, y estos se implementaron”, dijo el portavoz. “Esto incluyó solicitar y recibir ayuda mutua y apoyo cruciales de una amplia gama de socios”.
Detrás de ciberataque fue identificad la banda cibercriminal rusa Qilin, la que habría extorsionado por 50 millones de dólares a Synnovis para desbloquear los sistemas afectados. Con posterioridad al incidente, el grupo publicó en su sitio una gran cantidad de registros médicos confidenciales.