Según Escudo Digital, los ciberatacantes aseguran haber tratado de negociar con la institución y haber enviado "un montón de emails" a su director de I+D+i y de Neurociencia Clínica, sin haber obtenido respuesta. Así, hicieron una publicación el pasado 17 de marzo y los datos se habrían compartido dos días después, al no haberse hecho efectivo el pago del 'rescate'.

El Hospital Los Madroños publicó un comunicado en su página web donde informó de que el 7 de marzo se produjo una "violación de seguridad" en sus sistemas y reconoció un ataque de 'ransomware' de Qilin, banda que logró cifrar sus sistemas informáticos y extraer "copias no autorizadas de datos almacenados en ellos".

En el ataque pudieron conseguir detalles personales de empleados, proveedores y pacientes, variando la información extraída para cada uno de estos grupos. Por ahora, el hospital no ha revelado el número exacto de afectados.

De los primeros han conseguido el DNI, datos académicos y de formación, datos derivados del empleo y número de cuenta bancaria, entre otros. De los proveedores se han hecho con datos identificativos (nombre y apellidos de persona de contacto, teléfono, cargo, dirección de correo electrónico de trabajo y, en algunos casos, DNI/NIF si fue proporcionado para contratos) e información de cuenta bancaria.

Por último, se han apropiado de información sensible de pacientes que incluye nombre y apellidos, documento de identidad (DNI/NIE), fecha de nacimiento, domicilio, número de teléfono y otros datos de contacto, así como datos relativos a su historial clínico (información sobre su salud y atención médica, como diagnósticos, tratamientos, resultados de pruebas y notas de sus médicos).

El centro asegura que tan pronto tuvo conocimiento del incidente procedió a activar su protocolo de respuesta ante brechas de seguridad, desconectando sus sistemas afectados y organizando un equipo de respuesta especializado formado tanto por sus técnicos de informática como por expertos externos en ciberseguridad.

En parapelo, están llevando a cabo una investigación forense. Además, han informado a las autoridades competentes, como la Agencia Española de Protección de Datos y las Fuerzas y Cuerpos de Seguridad del Estado.

"En base a esta brecha de seguridad, se podrían generar consecuencias tales como, menoscabo en sus derechos fundamentales (salud y privacidad), suplantación de identidad o fraude, entre otros", advierte el Hospital Los Madroños. "Sabemos que confían en nosotros para manejar sus datos de manera segura, y lamentamos profundamente que haya ocurrido este incidente a pesar de las medidas de protección con las que contábamos", se disculpa.