**Ciberataque paraliza el hospital belga AZ Monica: servidores bloqueados y pacientes críticos trasladados**
—
### 1. Introducción
En la madrugada del pasado lunes, el hospital belga AZ Monica, uno de los centros médicos de referencia en Amberes, sufrió un ciberataque de gran envergadura que obligó a la desconexión total de sus sistemas informáticos, la cancelación de procedimientos programados y el traslado urgente de pacientes críticos a otros centros sanitarios. Este incidente evidencia el creciente riesgo que enfrentan las infraestructuras críticas sanitarias ante amenazas cibernéticas cada vez más sofisticadas y dirigidas.
—
### 2. Contexto del Incidente
AZ Monica, con más de 1.200 trabajadores y una alta capacidad asistencial, se vio forzado a activar sus protocolos de contingencia cuando su red interna fue comprometida por actores maliciosos. El ataque se produjo en plena jornada laboral, lo que agravó la situación al afectar tanto a la gestión clínica diaria como a los servicios de urgencias. La administración del hospital comunicó la interrupción total de los servidores y la imposibilidad de acceder a historiales médicos, agendas de quirófano y sistemas de prescripción farmacológica.
Este suceso se enmarca en una tendencia al alza de ataques dirigidos contra organizaciones sanitarias europeas, especialmente tras la entrada en vigor de la Directiva NIS2 y el endurecimiento de los requisitos de protección para infraestructuras críticas.
—
### 3. Detalles Técnicos
Aunque la dirección de AZ Monica no ha confirmado oficialmente la naturaleza del ataque, fuentes cercanas a la investigación apuntan a un posible incidente de ransomware. Diversos indicadores de compromiso (IoC) detectados —como la actividad anómala en puertos RDP (3389/TCP) y la rápida propagación lateral de procesos cifrados— sugieren el uso de malware especializado, similar a variantes como LockBit 3.0 o BlackCat, conocidas por explotar vulnerabilidades en servicios expuestos y credenciales comprometidas.
Los expertos del Centro Nacional de Ciberseguridad belga (CCB) están analizando registros que evidencian técnicas de acceso inicial como spear phishing y explotación de CVE-2023-34362 (MOVEit Transfer), utilizada recientemente en campañas dirigidas contra el sector salud. Se han observado TTPs alineadas con MITRE ATT&CK, destacando las siguientes fases:
– **TA0001 (Initial Access):** Campañas de phishing con archivos adjuntos maliciosos.
– **TA0002 (Execution):** Uso de scripts PowerShell para descargar y ejecutar payloads.
– **TA0003 (Persistence):** Creación de tareas programadas y backdoors.
– **TA0008 (Lateral Movement):** Movimientos a través de SMB y credenciales robadas.
En el análisis forense preliminar no se descarta la utilización de herramientas como Cobalt Strike para la fase de post-explotación, así como la posible exfiltración de datos sensibles antes del cifrado.
—
### 4. Impacto y Riesgos
Las consecuencias del ataque han sido inmediatas y graves. El cierre de los sistemas informáticos paralizó la actividad clínica, obligando a cancelar decenas de intervenciones y consultas. Se estima que al menos un 30% del flujo diario de pacientes se vio afectado. La imposibilidad de acceder a historiales electrónicos incrementó el riesgo para la seguridad de los pacientes, especialmente en casos críticos donde la falta de información puede ser determinante.
Además, la potencial filtración de datos personales y sanitarios expone al hospital a sanciones severas bajo el Reglamento General de Protección de Datos (GDPR), con multas que pueden alcanzar el 4% de la facturación anual. La NIS2 obliga, además, a notificar el incidente en menos de 24 horas y a implementar medidas correctivas inmediatas.
—
### 5. Medidas de Mitigación y Recomendaciones
El incidente pone de manifiesto la necesidad de reforzar la ciberresiliencia en el sector sanitario. Entre las recomendaciones técnicas se destacan:
– **Segmentación de red:** Limitar la propagación lateral mediante VLAN y control de accesos.
– **Gestión de vulnerabilidades:** Parcheo inmediato de sistemas críticos y despliegue de EDR/XDR.
– **Monitorización avanzada:** Integración de SIEM y correlación de eventos en tiempo real.
– **Copias de seguridad offline:** Garantizar la recuperación ante escenarios de ransomware.
– **Formación y concienciación:** Campañas de simulación de phishing y actualización de protocolos internos.
– **Planes de respuesta a incidentes:** Pruebas periódicas y actualización continua.
—
### 6. Opinión de Expertos
Según Erik Van der Meulen, analista de amenazas en CERT.be, “el sector sanitario sigue siendo uno de los más vulnerables por su alta dependencia tecnológica y la criticidad de sus servicios. Los actores de ransomware buscan maximizar la presión, conscientes de que el tiempo es un factor vital en hospitales.” Por su parte, Bart Vandenberghe, CISO de una importante red sanitaria flamenca, apunta que “la falta de segmentación y la exposición de servicios RDP siguen siendo las puertas de entrada más frecuentes”.
—
### 7. Implicaciones para Empresas y Usuarios
El ataque al AZ Monica es una advertencia para todas las organizaciones gestionadoras de datos críticos. La necesidad de cumplir con la NIS2 y el GDPR ya no es solo una cuestión legal, sino de supervivencia operativa. Para los CISOs y responsables de seguridad, la inversión en tecnologías de detección y respuesta, así como en planes de continuidad de negocio, debe ser una prioridad absoluta. Para los usuarios, este tipo de incidentes pone en evidencia la importancia de la protección de sus datos personales y la necesidad de exigir a las instituciones la máxima transparencia y diligencia.
—
### 8. Conclusiones
El ciberataque al hospital AZ Monica confirma la creciente sofisticación y agresividad de las amenazas dirigidas al sector sanitario europeo. La interrupción de servicios esenciales y el riesgo para la vida de los pacientes subrayan la urgencia de adoptar una postura de seguridad integral, basada en la anticipación, detección y respuesta rápida. La colaboración público-privada y la inversión en ciberseguridad son ya elementos imprescindibles para garantizar la continuidad asistencial y la protección de los datos en el ámbito sanitario.
(Fuente: www.bleepingcomputer.com)