Un ataque de ransomware contribuyó a la muerte de un paciente

La muerte de una persona ha sido vinculada a un ataque de ransomware a los servicios de sangre del NHS en hospitales y consultorios médicos de Londres el pasado mes de junio.

El King's College Hospital NHS Foundation Trust confirmó que un paciente "murió inesperadamente" durante el ciberataque del 3 de junio de 2024, que interrumpió más de 10.000 citas.

Un portavoz de la fundación dijo que una serie de factores que contribuyeron a la muerte del paciente, incluida "una larga espera para el resultado de un análisis de sangre".

Durante el incidente fueron robados datos de pacientes gestionados por Synnovis, una agencia que gestiona laboratorios para fideicomisos del NHS y médicos de cabecera en el sureste de Londres.

Un portavoz del fideicomiso dijo que se había realizado una revisión detallada de la atención recibida por el paciente.

"La investigación del incidente de seguridad del paciente identificó una serie de factores que contribuyeron a la muerte del paciente", dijeron.

"Esto incluyó una larga espera para obtener el resultado de un análisis de sangre debido al ciberataque que afectó a los servicios de patología en ese momento.

"Nos reunimos con la familia del paciente y les compartimos los resultados de la investigación de seguridad".

El portavoz agregó que no podían confirmar la fecha de la muerte ni la edad de la persona, alegando confidencialidad.

Mark Dollar, director ejecutivo de Synnovis, afirmó: «Nos entristece profundamente saber que el ciberataque criminal del año pasado ha sido identificado como uno de los factores que contribuyeron a la muerte de este paciente.

"Nuestros corazones están con la familia involucrada".

Se cancelaron más de 10.000 citas en los dos centros del NHS de Londres más afectados. Un número significativo de consultas de medicina general en Londres no pudieron solicitar análisis de sangre a sus pacientes.

El Health Service Journal (HSJ) informó que hubo casi 600 "incidentes" relacionados con el ataque, de los cuales 170 afectaron la atención médica de los pacientes. Un caso fue de daño "grave", 14 resultaron en daño "moderado" y los restantes se identificaron como de "daño leve", según el HSJ.

Según las directrices del NHS, se produce un daño grave cuando los pacientes sufren un daño permanente, necesitan cuidados para salvarles la vida o su expectativa de vida podría verse reducida, entre otros factores.

Deryck Mitchelson, de la empresa de seguridad cibernética Check Point, dijo que los ciberataques fueron más que una simple "interrupción" ya que causaron "daño a los pacientes".

El Sr. Mitchelson, ex director de National Digital y director de seguridad de la información de NHS National Services Scotland, dijo que los sistemas de TI solo eran tan seguros como el eslabón más débil de la cadena.

La muerte ahora confirmada es trágica, pero no sorprende. Cuando los sistemas que sustentan el diagnóstico y el tratamiento se reducen a gran escala, las consecuencias no son hipotéticas. Este es el costo real, afirmó.

Este no fue un acto anónimo. No se trató solo de sistemas o datos, sino de atención. Se trató de personas. Una de ellas ha perdido la vida. Eso debería pesar mucho.

Qilin, el grupo cibercriminal con sede en Rusia responsable del ataque, dijo anteriormente que "lamentaba" todo el daño causado, pero que "no tenía la culpa".

La banda de ransomware habló con la BBC en junio de 2024 en el servicio de chat cifrado qTox e intentó justificar el ataque como una forma de protesta política.

Qilin afirmó que llevó a cabo el ciberataque como venganza por las acciones del gobierno del Reino Unido en una guerra no revelada.