En un evento nunca antes visto, se ha revelado que 665.128 estudios médicos de 30 clínicas, institutos, hospitales y centros privados de salud en Argentina y Ecuador fueron filtrados. Esta violación de seguridad, la mayor en la historia del sector salud argentino y una de las más grandes de Latinoamérica, expone información delicada de pacientes y profesionales, generando gran preocupación.
El grupo cibercriminal responsable del ataque se llama D0T CUM. Es un grupo nuevo de Data Extortion que comparte tácticas, técnicas y procedimientos con otros grupos similares. Este grupo no parece tener infraestructura propia como un Dedicated Leak Site (DLS) y utiliza foros y file hostings dedicados al cibercrimen para distribuir la información robada.
El ataque a InformeMedico permitió a D0T CUM extraer historias clínicas con información personal sensible y detallada de los pacientes y profesionales involucrados, con datos fechados hasta fines de febrero de 2025.
InformeMedico es una empresa que provee software para almacenar y distribuir imágenes médicas como tomografías y ecografías, así como sistemas de gestión médica. Los atacantes lograron comprometer la cadena de suministro de InformeMedico, accediendo a los datos de sus clientes. Los datos filtrados incluyen radiografías, análisis de laboratorio y otros estudios con información personal altamente confidencial.
La información robada salió a la luz en un foro clandestino utilizado por ciberdelincuentes para la compraventa de datos. A diferencia del ransomware tradicional, donde los archivos son encriptados hasta que se pague un rescate, este ataque se basó en extorsión directa: los delincuentes exigieron dinero para no publicar la información robada.
Especialistas en ciberseguridad advirtieron que este tipo de ataques a la cadena de suministro de software son cada vez más frecuentes. “Un solo punto de compromiso puede afectar a decenas de instituciones al mismo tiempo”, explicó Camilo Gutiérrez, analista de la firma ESET. El modelo utilizado en este caso, sin infraestructura propia como un sitio dedicado a filtraciones (DLS), hace más difícil el rastreo de los atacantes.
Los ataques a organizaciones del ámbito de la salud se volvieron cada vez más frecuentes en el panorama actual de la ciberseguridad. Debido a la naturaleza crítica de los servicios que brindan, los ciberdelincuentes aprovechan cualquier debilidad en sus sistemas para infiltrarse, causar interrupciones e incluso robar información confidencial.
Datos claves:
- Uso de datos robados: Los datos personales robados se utilizan para diversos ciberdelitos como campañas de phishing, suplantación de identidad y ataques de ingeniería social.
- Ataque a la cadena de suministro: Este tipo de ataque compromete a la empresa proveedora y expone a sus clientes, en este caso, entidades de salud.
- Extorsión económica: Los atacantes extorsionaron a la empresa con una remuneración económica a cambio de no vender la información robada.
- Frecuencia de ataques a la salud: Los ataques a organizaciones de salud son cada vez más comunes y costosos, con un promedio de 9.77 millones de dólares por incidente.
Recomendaciones para prevenir estos ataques:
- Fortalecer la seguridad de la cadena de suministro: Asegúrate de que todos los proveedores y socios cumplan con altos estándares de seguridad. Realiza auditorías periódicas y verifica sus prácticas de ciberseguridad.
- Implementar medidas de seguridad robustas: Utiliza firewalls, sistemas de detección de intrusiones y software antivirus actualizado. Asegúrate de que todos los dispositivos y sistemas estén protegidos.
- Cifrado de datos: Cifra la información sensible tanto en tránsito como en reposo. Esto dificulta que los atacantes puedan utilizar los datos robados.
- Capacitación en ciberseguridad: Educa a los empleados sobre las mejores prácticas de seguridad, incluyendo simulaciones para identificar correos electrónicos de phishing y otros intentos de ingeniería social.
- Plan de respuesta a incidentes: Desarrolla y prueba regularmente un plan de respuesta a incidentes para actuar rápidamente en caso de un ataque. Incluye procedimientos para la recuperación de datos y la comunicación con las partes afectadas.
- Monitoreo continuo: Implementa sistemas de monitoreo continuo para detectar actividades sospechosas y responder de inmediato a posibles amenazas con la ayuda de un equipo de respuesta a incidentes.
Identificar riesgos y amenazas tempranamente es clave para evitar ciberataques, pérdidas económicas y reputacionales, así como sanciones legales por incumplir normas de seguridad de la información y protección de datos.
Fuente: Clarín. Hackean un proveedor de software médico de Argentina
Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación o sitio web dando clic en el siguiente enlace: