Proveedor del NHS paga 3 millones por fallos de seguridad en ciberataque

Advanced deberá abonar 3 millones de libras (3.8M$) por no proteger datos sanitarios. La multa, reducida a la mitad, responde a un ataque de ransomware en 2022 que afectó a sistemas del NHS. La empresa no implementó autenticación multifactor, permitiendo el robo de credenciales.

«Negligencia en protección de datos sanitarios»

La ICO (Oficina del Comisionado de Información del Reino Unido) confirmó que Advanced «incumplió la ley de protección de datos» al no activar medidas básicas de seguridad. El ataque del grupo LockBit comprometió información personal de «decenas de miles de personas» y causó interrupciones en sistemas del NHS.

Multa reducida pero con consecuencias

La sanción inicial era de 6 millones de libras (agosto 2024), pero se negoció su reducción. Advanced aceptó el acuerdo sin nombrar portavoces, según TechCrunch. La empresa gestiona sistemas críticos de datos de pacientes para el NHS.

Un ataque con impacto nacional

El ransomware afectó operaciones sanitarias en todo el Reino Unido, evidenciando la vulnerabilidad de proveedores externos. Los hackers accedieron mediante credenciales robadas, aprovechando la falta de autenticación multifactor.

Ciberamenazas en entornos críticos

El caso refleja los riesgos de tercerizar servicios tecnológicos sensibles sin garantías de ciberseguridad. En 2022, el NHS ya había sufrido brechas similares, pero esta fue una de las más graves por su alcance.

Lección costosa para el sector

La resolución sienta un precedente para proveedores que manejen datos públicos. La ICO demostró tolerancia cero con fallos evitables, aunque la multa final fuera menor. Los sistemas del NHS siguen operativos, pero con mayor escrutinio.