El colapso de los servicios médicos esenciales de Londres a mediados del 2024 tras un ataque de ransomware del grupo Qilin, retrasó una gran cantidad de diagnósticos y tratamientos, y cobró la vida de un paciente y afectando a miles más.
Una investigación del King’s College Hospital NHS Foundation Trust confirmó esta semana que un paciente falleció como consecuencia indirecta del ciberataque que afectó a varios hospitales y centros de atención primaria en Londres el 3 de junio de 2024. El incidente, atribuido al grupo cibercriminal Qilin, paralizó los servicios de patología durante semanas, provocando daños generalizados en la atención médica y exponiendo vulnerabilidades críticas en la infraestructura digital del sistema de salud británico.
El ciberataque, dirigido a Synnovis -empresa encargada de los servicios de análisis de sangre para distintos organismos del NHS en el sureste de Londres-, y que hemos seguido en nuestro blog desde su reporte a mediados del 2024, provocó la cancelación de más de 10 mil citas médicas, el retraso de al menos 1.100 tratamientos oncológicos y la postergación de más de un millar de operaciones, además de una severa escasez de sangre en el Inglaterra, la que aún continúa.
La incapacidad de acceder a resultados de laboratorio en tiempo oportuno generó múltiples consecuencias clínicas, entre ellas la muerte inesperada de un paciente, según confirmaron autoridades hospitalarias de la capital del Reino Unido.
“Lamentablemente, un paciente falleció inesperadamente durante el ciberataque. La investigación sobre el incidente identificó varios factores contribuyentes, incluyendo una espera prolongada por resultados de un análisis de sangre debido a la interrupción en los servicios de patología”, indicó un portavoz del King’s College Hospital. El centro médico añadió que compartieron los hallazgos con la familia de la víctima tras una revisión detallada del caso.
El ciberataque también obligó a los hospitales a utilizar sangre tipo O para todos los pacientes, ante la imposibilidad de realizar pruebas de compatibilidad, lo que provocó una escasez nacional de este tipo sanguíneo, según explicó NHS de Inglaterra. Además, Synnovis reveló que debió destruir 20 mil muestras de sangre pertenecientes a unos 13.500 pacientes, ya que los análisis no pudieron realizarse a tiempo y las muestras se degradaron.
El grupo cibercriminal Qilin, que asumió la autoría del ataque, publicó aproximadamente 400 GB de datos confidenciales, incluyendo nombres de pacientes, fechas de nacimiento, números del NHS y detalles de exámenes médicos, en la darknet y en Telegram. También difundieron hojas de cálculo con acuerdos financieros entre hospitales, GP (los médicos de cabecera de los diferentes centros asistenciales) y del laboratorio Synnovis.
La magnitud del daño ha reabierto el debate sobre la seguridad digital en la sanidad pública británica. Según cifras del Health Service Journal, se identificaron cerca de 600 incidentes relacionados con el ataque, 170 de ellos implicaron daño a pacientes, uno fue clasificado como de “daño severo”, 14 como de “daño moderado” y el resto como de “daño bajo”.
Mark Dollar, CEO de Synnovis, expresó que estaban “profundamente entristecidos al saber que el ciberataque criminal del año pasado ha sido un factor que contribuyó a esta trágica pérdida. Nuestros pensamientos están con la familia”.
La confirmación de esta primera víctima fatal vinculada con un ciberataque en el ámbito hospitalario británico podría marcar un punto de inflexión en la discusión sobre la ciberseguridad en servicios críticos -operadores de importancia vital y prestadores de servicios esenciales en nuestro país- y plantea interrogantes urgentes sobre la preparación de los sistemas públicos o privados que entregan asistencia pública, ante este tipo de ciberamenazas.