Brutal ciberataque a una de las mayores empresas de diálisis del mundo: los datos médicos de casi un millón de pacientes, al descubierto

Para los piratas informáticos la fuente de la que extraer datos personales con los que hacer negocio es lo de menos, puesto que tras sus acciones no hay ningún tipo de ética y tan solo se basan en el lucro. Las consecuencias de este tipo de ataques las han sufrido ya incluso cuerpos y fuerzas de seguridad del estado como guardias civiles y militares.

Buena muestra de esa falta de escrúpulos a la hora de robar información la da uno de los últimos ciberataques que se han conocido y que ha supuesto la exposición de datos personales y confidenciales de cerca de un millón de pacientes en tratamiento de diálisis con la institución sanitaria DaVita, con sede en Denver, Colorado, en Estados Unidos.

Información sensible como informes médicos y cheques

Los datos, reconocidos y notificados por DaVita a sus usuarios, apuntan a que los delincuentes informáticos se hicieron con información de carácter confidencial de 915.000 pacientes de la compañía de tratamientos de diálisis renal a través de un ataque de ransomware, tal como apunta el sitio web Comparitech.

Los hechos tuvieron lugar entre los meses de marzo y abril de este año y la acción fue reivindicada por el grupo de ataques en línea Interlock, quien señaló haberse hecho con 1,5 terabytes de datos. Entre ellos figuraba nombre completo de pacientes, número de seguridad social, información sobre seguros de salud, informes médicos y sobre tratamientos personales, direcciones de residencia e incluso imágenes de cheques de pago a nombre de la compañía sanitaria DaVita.

Fue la propia compañía la que reconoció, en comunicación con los afectados, la brecha de seguridad y el hecho de que su información se había visto comprometida: “El 12 de abril de 2025, descubrimos que sufrimos un incidente de seguridad que resultó en un acceso no autorizado a ciertos servidores de la red de DaVita, principalmente en sus laboratorios”, señaló la firma.

En dicha comunicación con los afectados, DaVita informó de los plazos en que se había producido el suceso y cuándo pudo acotarlo: “Tras una exhaustiva investigación, entendemos que el incidente comenzó el 24 de marzo de 2025 y continuó hasta que el atacante fue bloqueado de nuestros servidores el 12 de abril de 2025”.

El sector sanitario, objetivo de los ciberdelincuentes

Lo que no ha aclarado DaVita es si para cerrar esa brecha de seguridad ha hecho frente a algún pago al grupo de delincuencia en línea causante de ese acceso ilícito en sus bases de datos. Este suele ser el modo de actuación habitual de organizaciones como Interlock, grupo que se atribuye la acción contra la compañía especializada en servicios de diálisis. Tampoco se ha aclarado el modo en que los ciberdelincuentes pudieron acceder a los sistemas de DaVita.

Lo que sí hizo la firma sanitaria fue ofrecer a aquellos pacientes que vieron comprometida su privacidad con el acceso a sus datos servicios gratuitos de restauración de identidad a través de Experian, con fecha límite de inscripción el 28 de noviembre. El ataque sufrido por DaVita es el segundo más importante en número de afectados en el que se ve involucrado el sector sanitario estadounidense tras el sufrido a comienzos de año por parte de Frederick Health.

El sector sanitario es uno de los más explotados por los piratas informáticos dado su escaso nivel de protección ante ataques de ransomware y otros métodos similares, por lo que este nuevo ejemplo vuelve a poner el foco en la necesidad del sector de modernizar sus barreras de protección para garantizar la confidencialidad de los datos de los pacientes.