Universidad de Hawái confirma brecha ransomware: robados datos sensibles de participantes en estudios oncológicos

Introducción

La Universidad de Hawái ha revelado recientemente que su Centro Oncológico fue objeto de un sofisticado ataque de ransomware en agosto de 2025. En el incidente, actores maliciosos lograron exfiltrar información confidencial de participantes en estudios clínicos, incluyendo documentos históricos de la década de los noventa con datos personales altamente sensibles, como números de la Seguridad Social. El suceso pone en evidencia la creciente exposición de instituciones académicas y sanitarias a campañas de ransomware dirigidas, así como la necesidad de revisar y reforzar los protocolos de seguridad de la información en entornos de investigación biomédica.

Contexto del Incidente

El ataque tuvo lugar en el Centro de Cáncer de la Universidad de Hawái, una entidad que gestiona investigaciones multicéntricas y el almacenamiento de datos de largo plazo conforme a las regulaciones estadounidenses y, en su caso, equivalentes europeas como el RGPD. Según el comunicado oficial, los ciberdelincuentes accedieron a sistemas internos y sustrajeron documentación de participantes de investigaciones, afectando tanto a registros recientes como a archivos digitalizados de décadas anteriores.

El incidente fue detectado por los equipos de IT de la universidad tras observarse actividad inusual en los sistemas y la aparición de mensajes de extorsión típicos de ransomware. Las primeras pesquisas apuntan a un acceso inicial a través de credenciales comprometidas o explotación de una vulnerabilidad en servicios expuestos. La universidad ha notificado a las autoridades federales, a los afectados y ha procedido a activar su plan de respuesta a incidentes.

Detalles Técnicos

Aunque la Universidad de Hawái no ha publicado el nombre específico de la familia de ransomware implicada, fuentes del sector señalan similitudes operativas con grupos como LockBit 3.0 o BlackCat/ALPHV, ambos conocidos por sus campañas dirigidas a entidades educativas y sanitarias, y por la exfiltración previa a la encriptación local.

Entre los vectores de ataque probables se encuentran:

– Explotación de vulnerabilidades en servicios RDP (CVE-2019-0708 «BlueKeep» o CVE-2021-34527 «PrintNightmare»).
– Phishing dirigido para capturar credenciales de acceso privilegiado.
– Movimientos laterales a través de herramientas como Cobalt Strike Beacon o Metasploit Framework, empleando técnicas MITRE ATT&CK como T1078 (Valid Accounts), T1021.001 (Remote Services: RDP) y T1566 (Phishing).
– Exfiltración de datos mediante canales cifrados y borrado de logs para dificultar la trazabilidad.

Como indicadores de compromiso (IoC) se han identificado direcciones IP asociadas a infraestructuras de comando y control previamente empleadas en campañas contra el sector sanitario, así como hashes de ejecutables de ransomware conocidos.

Impacto y Riesgos

Los datos comprometidos incluyen información de identificación personal (PII), resultados de estudios clínicos y, en algunos casos, números de la Seguridad Social de participantes. La filtración de documentos de los años noventa agrava la situación, ya que muchos de los registros nunca fueron concebidos para un entorno digital y carecen de medidas de pseudonimización modernas.

El impacto potencial abarca:

– Riesgo de fraude de identidad y suplantación.
– Uso de los datos exfiltrados en futuras campañas de spear phishing.
– Sanciones regulatorias por incumplimiento de normativas de privacidad (en EE. UU. HIPAA, en la UE GDPR, y de aplicarse la directiva NIS2).
– Daños reputacionales y pérdida de confianza de la comunidad investigadora y de los propios participantes.

Medidas de Mitigación y Recomendaciones

Tras el incidente, la Universidad de Hawái ha iniciado la revisión y fortalecimiento de sus controles de acceso, la segmentación de la red y el despliegue de sistemas EDR (Endpoint Detection and Response). Para el sector, las mejores prácticas incluyen:

– Auditoría y limitación de accesos a datos históricos sensibles.
– Actualización y parcheo continuo de servicios expuestos, especialmente RDP y servidores de archivos.
– Implementación de MFA en todos los accesos privilegiados.
– Simulacros de respuesta ante ransomware y planes de continuidad de negocio.
– Cifrado en reposo y en tránsito de los datos de investigación.
– Monitorización proactiva de IoC y colaboración con ISACs sectoriales.

Opinión de Expertos

Especialistas en seguridad como Jake Williams (ex-NSA y fundador de Rendition Infosec) advierten de la tendencia creciente de los grupos de ransomware a atacar instituciones académicas, consideradas objetivos de alto valor y baja resiliencia. “El legado de datos no digitalizados correctamente y la falta de segmentación en redes universitarias son vectores críticos para atacantes sofisticados”, afirma Williams.

Por su parte, expertos europeos recuerdan que la protección de la identidad de participantes en estudios biomédicos es un requerimiento expreso del GDPR y anticipan sanciones significativas si se demuestra negligencia en la protección de los datos.

Implicaciones para Empresas y Usuarios

El caso de la Universidad de Hawái es extrapolable a cualquier organización que custodie datos históricos o sensibles. Las empresas y organismos deben revisar sus estrategias de retención y protección, asegurando que los archivos antiguos digitalizados cumplen los estándares de seguridad actuales. Asimismo, resulta crítico comunicar de forma transparente los incidentes a los afectados y a las autoridades, y reforzar los canales de denuncia y soporte en caso de filtraciones.

Conclusiones

El ataque al Centro de Cáncer de la Universidad de Hawái subraya la vulnerabilidad de las instituciones que gestionan grandes volúmenes de datos históricos y la urgencia de adoptar una aproximación Zero Trust en la custodia de información crítica. La combinación de técnicas de exfiltración y ransomware, junto a la explotación de archivos antiguos, marca una tendencia que requiere respuestas multidisciplinares, desde la tecnología hasta el cumplimiento normativo y la formación continua del personal.

(Fuente: www.bleepingcomputer.com)