Filtración de datos en Clinical Diagnostics: llamada de atención al sistema sanitario holandés

 

¿Qué ha ocurrido?

En julio de 2025, el laboratorio de Diagnóstico Clínico, con sede en Rijswijk, fue víctima de un ataque de ransomware por parte del grupo de hackers Nova. Inmediatamente después, parte de los datos -unos 100 MB- se publicaron en la web oscura como prueba del pirateo. Se trataba de datos de unas 53.516 personas, incluidos nombres, DNS y resultados médicos.

Al parecer, en respuesta al pago de un rescate probablemente de millones de euros, el grupo amenazó con detener la publicación. Pero la amenaza no parece haber desaparecido: Nova afirmó que la clínica había “incumplido los acuerdos” y lanzó otro ultimátum mediante un reloj de cuenta atrás para demandas adicionales.

Recientemente, los piratas informáticos han prometido que los datos han sido eliminados y que no se volverán a publicar. La Autoridad de Datos Personales y la Inspección de Sanidad y Juventud investigan ahora el curso de los acontecimientos en Clinical Diagnostics.

El incidente muestra la cruda realidad: incluso con el cumplimiento de AVG/NEN, una institución sanitaria sigue siendo vulnerable debido a implementaciones insuficientes, gestión lenta de incidentes y falta de comunicación de crisis.

 

¿Por qué es tan preocupante este ataque?

1. Riesgos para la privacidad y fraude de identidad
   Los datos médicos sensibles combinados con los BSN y las direcciones son una mina de oro potencial para el fraude de identidad, el chantaje y el phishing.

2. Infracción de la confianza y daño a la reputación
   Una filtración de este tipo daña la confianza en los estudios de población y en las autoridades sanitarias, con repercusiones duraderas en la participación y la cooperación.

3. Cumplimiento y responsabilidad
   El retraso en la notificación (sólo después de un mes) infringe la norma AVG de notificación en 72 horas. Esto puede dar lugar a multas, reclamaciones e indignación pública.

4. El fenómeno del ransomware se normaliza
   A pesar de las advertencias de los reguladores, las organizaciones pagan rescates, lo que hace que el ransomware sea cada vez más rentable.

5. Lagunas estructurales en la ciberseguridad
   Desde las políticas de contraseñas hasta la supervisión, la respuesta a incidentes y la minimización de datos, las medidas inadecuadas están en la raíz de estos incidentes.

 

Situación actual y pasos a seguir

• Tamaño de la fuga mayor de lo esperado: hasta 941.000 participantes potencialmente afectados.

• Investigación y comunicación: Se enviarán cartas a todas las partes interesadas, incluidas las mujeres previamente informadas.

• Supervisión y sanciones: La IGJ y la AP investigan a Diagnósticos Clínicos; pueden seguir acciones administrativas o legales.

• ¿Y ahora qué? Las instituciones sanitarias deben hacerlo inmediatamente:

  • Aplicar la minimización de datos

  • Supervisión en tiempo real + despliegue del SOC 24/7

  • Realiza auditorías preventivas de acuerdo con la norma NEN7510 + privacidad por diseño

  • Preparar la comunicación de crisis y la respuesta a incidentes

  • Poner en marcha programas de sensibilización para el personal sanitario

 

Cómo ayuda ALTA-TIC a las organizaciones (con un ROI medible)

En ALTA-ICT B.V., ofrecemos:

• Análisis de riesgos y auditorías preventivas según NEN7510 e ISO27001

• Detección y respuesta 24/7 a flujos de datos sospechosos

• Implementación de la privacidad por diseño de acuerdo con la AVG, la NEN7510 y las directrices específicas de asistencia

• Programas de sensibilización de los empleados, respaldados por KPI mensurables

• Enfoque proactivo: no esperar a que las cosas vayan mal, sino tener el control de forma demostrable.

Ejemplos de ROI medibles:

• Auditoría preventiva + aplicación de parches → 80% de reducción del riesgo de vulnerabilidades

• Formación de sensibilización → Reducción del 60% de los incidentes de phishing

• Supervisión del SOC → Tiempo de detección de días a <30 minutos

• Proceso de privacidad por diseño → Tranquilidad jurídica durante las inspecciones

 

 

PREGUNTAS FRECUENTES

¿Qué debo hacer si se han filtrado mis datos?
Mantente alerta ante el phishing. Comprueba tú mismo las comunicaciones y nunca devuelvas inmediatamente una llamada sospechosa.

¿Puede una institución sanitaria pagar un rescate?
Los organismos reguladores desaconsejan pagar. La privacidad y la reputación están en juego, y el pago no garantiza la eliminación de los datos.

¿Cuántos datos se robaron?
Nova afirma que se han robado 300 GB de datos. Sólo se han publicado 100 MB, pero podría tratarse de hasta 941.000 archivos.

¿Lo está investigando el gobierno?
Sí: la IGJ y AP investigan la seguridad de la información y las prácticas de información de Clinical Diagnostics.

 

Conclusión

La violación de datos en Clinical Diagnostics es una dura llamada de atención: incluso con la legislación existente, como AVG y NEN7510, el sector sanitario es vulnerable debido a errores en la aplicación real. Las organizaciones de los Países Bajos tienen que tomar medidas ya, no de forma reactiva, sino proactiva, con controles técnicos y organizativos demostrables.

ALTA-ICT está preparada para ayudar: desde auditorías preventivas hasta respuestas, desde la privacidad por diseño hasta el cambio de comportamiento, siempre centrándose en un retorno de la inversión medible.

Ponte en contacto con nosotros para una auditoría de riesgos o una consulta sin compromiso. Juntos, nos aseguraremos de que tu organización no se convierta en la próxima “llamada de atención”.

 

Referencia

¹https://www.linkedin.com/posts/altaict_altaict-zorg-cybersecurity-activity-7363449703004266496-5AnR

²https://nos.nl/artikel/2580325-datalek-bevolkingsonderzoek-blijkt-nog-groter-zeker-700-000-vrouwen-getroffen