Los ciberataques son problemáticos en el mejor de los casos, pero a veces pueden tomar un giro mucho más oscuro.
Un ejemplo: las autoridades del Reino Unido acaban de vincular un ataque de ransomware con la muerte de un paciente.
El ataque, que tuvo lugar en junio de 2024 y fue ampliamente difundido en su momento, tuvo como objetivo los servicios de sangre del NHS en hospitales y consultorios médicos en Londres e interrumpió más de 10.000 citas.
Tras una revisión especial de la atención del paciente realizada por el King’s College Hospital NHS Foundation Trust, se concluyó que varios factores habían contribuido a la muerte del paciente, entre ellos una larga espera para el resultado de un análisis de sangre, una espera derivada de la interrupción causada por el ciberataque.
«La investigación del incidente de seguridad del paciente identificó una serie de factores contribuyentes que condujeron a la muerte del paciente», dijo un portavoz del fideicomiso en comentarios reportados por la BBC, y agregó: «Esto incluyó una larga espera para el resultado de un análisis de sangre debido al ataque cibernético que afectó a los servicios de patología en ese momento».
El ataque de ransomware tuvo como objetivo al proveedor de servicios de patología Synnovis y se atribuyó al grupo de hackers Qilin, con sede en Rusia.
La brecha interrumpió gravemente la atención al paciente, lo que provocó la cancelación de más de 1.000 operaciones y citas ambulatorias, y provocó una escasez crítica de sangre tipo O en los hospitales de Londres.
Además de los impactos operativos, casi 400 GB de datos confidenciales, incluidos nombres de pacientes, números del NHS y detalles de análisis de sangre, fueron robados y publicados en línea.
Qilin le dijo a la BBC que si bien estaba «arrepentido» por el daño causado, no aceptaba la culpa. El grupo intentó justificar el ataque como una protesta política, alegando que se llevó a cabo en represalia por las acciones del gobierno del Reino Unido en una guerra que se negó a nombrar.
En declaraciones al Financial Times, el Dr. Saif Abed, ex médico del NHS y especialista en seguridad cibernética y salud pública, describió la muerte del paciente como «la punta del iceberg», afirmando que es «casi una certeza» que ha habido muertes similares a lo largo de los años, pero no registradas como tales «debido a la falta de investigaciones oficiales». Abed agregó que una investigación independiente sobre la seguridad del NHS y la seguridad del paciente debe comenzar lo antes posible.
No es la primera vez que se cita un ciberataque como un factor contribuyente a la muerte de un paciente. En un trágico incidente ocurrido en 2022, un ataque de ransomware encriptó los servidores de la Clínica Universitaria de Düsseldorf, en Alemania, lo que obligó a trasladar a una mujer gravemente enferma a otro hospital a 20 millas de distancia. Llegó una hora más tarde, pero murió poco después de llegar allí.
