¿Qué implica el robo de datos de los hospitales del NHS de Londres para los pacientes? | Ciberdelincuencia
Una banda criminal rusa ha robado datos altamente sensibles de pacientes del NHS, incluidos los resultados de análisis de sangre para VIH y cáncer, después de un ciberataque este mes.
El grupo publicó durante la noche casi 400 GB de datos procedentes de un ataque informático a Synnovis, una empresa conjunta entre el sector privado y el NHS que ofrece servicios de patología, como análisis de sangre y transfusiones. Siete hospitales gestionados por dos fideicomisos del NHS, Guy's and St Thomas' y King's College, se han visto afectados por el ataque de ransomware.
Qilin, la banda rusa que llevó a cabo el ataque, ha publicado los datos que extrajo durante el ciberatraco. La publicación de información privada sugiere que Synnovis se ha negado a pagar un rescate a Qilin para que descifre sus sistemas y elimine los datos robados.
Synnovis dijo que se estaba realizando un análisis de los datos en conjunto con el NHS, el Centro Nacional de Seguridad Cibernética y otros socios que “tiene como objetivo confirmar si los datos fueron tomados de los sistemas de Synnovis y qué información contienen”.
¿Qué datos han sido robados?
Los piratas informáticos tienen una enorme cantidad de datos que han robado de Synnovis, que se relacionan con alrededor de 300 millones de interacciones de pacientes con el NHS que se remontan a un número no especificado pero grande de años, según ha podido saber The Guardian. El NHS no ha publicado detalles sobre lo que incluyen estos datos. Pero sí incluyen los resultados de los análisis de sangre que los pacientes se han hecho antes de ser sometidos a una operación, incluida la cirugía de cáncer y trasplante, o porque tenían una infección de transmisión sexual sospechosa o estaban siendo examinados para ver si tenían VIH. El botín de Qilin también incluye datos que muestran los resultados de las pruebas a las que se han sometido los pacientes durante el proceso de atención y tratamiento por, según una fuente bien situada, “múltiples proveedores (de atención médica) privados”.
La BBC reportado el viernes que los datos que Qilin publicó en línea durante la noche incluían los nombres de los pacientes, fechas de nacimiento, números del NHS y “descripciones de análisis de sangre”.
¿Cómo puedo saber si mis datos han sido tomados?
No está claro si los pacientes pueden averiguar si los datos relacionados con los análisis de sangre y otras interacciones que han tenido con el NHS han sido robados o ya publicados en línea, ni cómo. En un comunicado, el NHS England dijo que la Agencia Nacional contra el Crimen y el Centro Nacional de Seguridad Cibernética estaban trabajando para verificar los datos incluidos en los archivos publicados, pero que la investigación era “muy compleja” porque los archivos no eran “simples cargas” y su trabajo podría tardar semanas o más en completarse.
El NHS de Inglaterra dijo que actualizaría a los pacientes del NHS sobre una página web dedicadaY agregó que las personas con preguntas también podrían llamar a la línea de ayuda para incidentes al 0345 8778967.
¿Cómo podrían utilizarse esos datos?
Las bandas criminales pueden utilizar datos personales filtrados en ataques de ransomware para llevar a cabo actividades fraudulentas, como atraer a personas a estafas de phishing, donde se engaña a las víctimas para que entreguen información confidencial, como contraseñas, o hagan clic en un enlace que descarga software malicioso.
“Existe el riesgo de que otros cibercriminales intenten usar información personal filtrada para robar identidad o llevar a cabo ataques de phishing”, dijo James Tytler, socio de S-RM, una consultora de ciberseguridad especializada en la respuesta a ataques de ransomware.
El NHS de Inglaterra dijo que cualquier persona contactada por alguien que afirma tener sus datos debe comunicarse con Action Fraud. en línea o al 0300 123 2040. Los correos electrónicos sospechosos deben enviarse a [email protected] o mensajes de texto al 7726.
¿Puede usted solicitar una indemnización si se ve afectado?
Los datos de las personas están protegidos por el RGPD del Reino Unido, que exige que las organizaciones mantengan seguros todos los datos personales que poseen.
“Las personas que sufren daños o sufrimiento como resultado de una violación del RGPD del Reino Unido por parte de una organización tienen derecho a demandar a la organización para obtener una compensación”, dijo Kate Brimsted, socia del bufete de abogados británico Bryan Cave Leighton Paisner.
Sin embargo, Brimsted agregó que solo porque se había producido un ataque informático y se habían tomado datos no significa que hubiera habido una falla de seguridad por parte de la organización involucrada.
“Será necesario realizar un análisis cuidadoso de las causas fundamentales y una investigación técnica antes de que se conozca cualquier cuestión de incumplimiento o responsabilidad del RGPD en el Reino Unido”.
¿Se pueden devolver los datos si se paga un rescate?
Los datos del ataque ya se han publicado en una plataforma de mensajería en línea y los delincuentes podrían haber tenido acceso a ellos. La publicación suele indicar que no se ha pagado ningún rescate y que los atacantes pasarán a buscar a su próxima víctima.
Ciaran Martin, exdirector del Centro Nacional de Seguridad Cibernética, dijo que pagar un rescate para que se “borren” los datos no funcionó. Una operación reciente de la Agencia Nacional contra el Crimen del Reino Unido contra la banda de ransomware LockBit descubrió que el grupo había retenido los datos a pesar de haber dicho que los eliminaría después de recibir un pago.
“Sabemos por el desmantelamiento de LockBit por parte de la Agencia Nacional contra el Crimen que los datos están ahí, pagues o no”, dijo.