AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

DaVita confirma el robo de datos personales y sanitarios de 2,7 millones de afectados tras un ciberataque de ransomware

admin

Introducción

El sector sanitario vuelve a ser protagonista de un grave incidente de seguridad tras la confirmación, por parte de DaVita Inc., de una brecha de datos que ha expuesto información sensible de casi 2,7 millones de personas. DaVita, uno de los mayores proveedores estadounidenses de servicios de diálisis renal, sufrió un ataque de ransomware que permitió a actores maliciosos acceder y extraer datos personales y sanitarios de pacientes y empleados. El incidente, comunicado oficialmente a las autoridades y a los afectados, pone de relieve la vulnerabilidad de infraestructuras críticas ante amenazas avanzadas y las graves consecuencias regulatorias y reputacionales de las filtraciones masivas.

Contexto del Incidente

El ataque se detectó a finales de abril de 2024, cuando el equipo de seguridad de DaVita identificó actividad irregular en sus sistemas internos. A raíz de la investigación forense, se confirmó que un grupo de ransomware logró comprometer la red corporativa y acceder a bases de datos sensibles antes de cifrar parte de la infraestructura. DaVita notificó el incidente al Departamento de Salud y Servicios Humanos de EE.UU. (HHS) y a la Oficina del Fiscal General, cumpliendo con la Health Insurance Portability and Accountability Act (HIPAA), normativa estadounidense equivalente al RGPD europeo en materia de protección de datos sanitarios.

El grupo de ransomware responsable, vinculado a operaciones de doble extorsión, exigió un rescate económico bajo amenaza de publicar la información robada en foros clandestinos si no se satisfacían sus demandas. DaVita rechazó negociar con los atacantes y optó por la vía legal y técnica para contener el incidente.

Detalles Técnicos

La investigación preliminar señala que los atacantes explotaron una vulnerabilidad en un servicio expuesto a Internet, posiblemente relacionada con CVE-2023-34362 (MOVEit Transfer), aunque la compañía aún no ha publicado detalles técnicos concluyentes. El vector de ataque primario fue el acceso remoto no autorizado a través de credenciales comprometidas, permitiendo a los ciberdelincuentes realizar movimientos laterales y escalar privilegios en la red interna.

La Táctica, Técnica y Procedimiento (TTP) observada se alinea con el framework MITRE ATT&CK, concretamente:

– Initial Access: Valid Accounts (T1078), Exploit Public-Facing Application (T1190)
– Lateral Movement: Remote Services (T1021), Pass the Hash (T1550.002)
– Exfiltration: Exfiltration Over Web Service (T1567.002)
– Impact: Data Encrypted for Impact (T1486), Data Destruction (T1485)

Los indicadores de compromiso (IoC) detectados incluyen direcciones IP de origen asociadas a servicios VPN bulletproof, hashes de ejecutables personalizados de ransomware y archivos cifrados con extensiones poco frecuentes. No se ha confirmado el uso de frameworks comerciales como Cobalt Strike, pero sí se han identificado herramientas de post-explotación para la persistencia y evasión.

Impacto y Riesgos

El alcance de la brecha es significativo: 2.684.111 afectados, según la notificación oficial. Los datos comprometidos incluyen nombres, direcciones, fechas de nacimiento, información médica y de seguros, y en algunos casos, números de la seguridad social. La exposición de datos médicos y personales eleva el riesgo de fraude, suplantación de identidad y ataques dirigidos (spear phishing) tanto a pacientes como a empleados.

Desde el punto de vista empresarial, la fuga puede desencadenar sanciones regulatorias bajo la HIPAA y, en contextos europeos, la NIS2 y el RGPD. La pérdida de confianza en los proveedores de salud y el posible impacto en la continuidad de los servicios críticos añaden presión a la gestión de crisis.

Medidas de Mitigación y Recomendaciones

DaVita ha implementado medidas de contención inmediatas, como el aislamiento de los sistemas afectados, la rotación de credenciales y la colaboración con expertos externos en respuesta a incidentes. Se recomienda a las organizaciones del sector:

– Realizar auditorías de seguridad periódicas y pruebas de penetración en sistemas expuestos.
– Desplegar herramientas avanzadas de EDR/XDR para la detección de actividad anómala.
– Implementar segmentación de red y políticas de mínimos privilegios.
– Actualizar y parchear servicios críticos, especialmente aplicaciones de transferencia de archivos.
– Formar y concienciar al personal en la identificación de amenazas y procedimientos de respuesta.

Opinión de Expertos

Javier Ruiz, CISO de una entidad sanitaria europea, considera que “el sector salud es un objetivo prioritario para los grupos de ransomware por el valor de los datos y la criticidad de los servicios. Es imprescindible adoptar una cultura de ciberresiliencia y anticipar ataques mediante simulaciones y análisis de amenazas.”

El consultor de ciberseguridad Miguel G. Fernández añade: “La doble extorsión es ya un estándar. Incluso pagando el rescate, no hay garantía de que los datos no se filtren. La prevención y la respuesta rápida son la única defensa eficaz.”

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la necesidad de cumplir con normativas como NIS2 y GDPR, que exigen notificación de brechas y medidas de protección adecuadas. El coste medio de una brecha de datos sanitarios supera los 10 millones de dólares según IBM, sin contar el daño reputacional y la posible pérdida de contratos.

Los usuarios y pacientes deben extremar precauciones ante posibles campañas de phishing o fraude que utilicen sus datos robados. Se recomienda vigilar la actividad en cuentas bancarias y de seguros, así como solicitar alertas de crédito en caso de sospecha.

Conclusiones

El ataque a DaVita evidencia una vez más la exposición del sector sanitario ante amenazas avanzadas y la sofisticación de los grupos de ransomware. Las organizaciones deben evolucionar hacia modelos Zero Trust y mantener una vigilancia proactiva para minimizar el impacto de incidentes inevitables. La transparencia en la gestión de la crisis, las inversiones en ciberseguridad y el cumplimiento normativo serán claves para recuperar la confianza de pacientes y socios.

(Fuente: www.bleepingcomputer.com)