El número de afectados por el ciberataque a Synnovis, que impactó al NHS en 2024, continúa aumentando. Mid and South Essex NHS Foundation Trust confirmó haber sido víctima de esta brecha de seguridad, comprometiendo aproximadamente 2.380 registros de pacientes sometidos a pruebas diagnósticas especializadas.
Este anuncio se suma al reciente comunicado del Bedfordshire Hospitals NHS Foundation Trust, que afirmó que cerca de 33.000 historiales médicos quedaron expuestos en el mismo incidente. Desde Mid and South Essex señalan que aún no pueden asociar totalmente algunos de los datos robados a pacientes específicos, por lo que no se ha determinado la cifra final de afectados.
Además, la institución confirma que los registros afectados no corresponden a pruebas realizadas tras el 3 de junio de 2024, fecha en que ocurrió el ataque. «Estamos a la espera de confirmar el número exacto», declaró Dawn Scrafield, subdirectora ejecutiva del trust, que añadió que contactarán a los pacientes afectados una vez tengan identificados los casos.
Este proceso refleja las consecuencias prolongadas del ataque. Synnovis aseguró haber concluido su revisión forense a finales del verano pasado y haber notificado a todas las organizaciones afectadas antes de noviembre. No obstante, Mid and South Essex no fue informado hasta diciembre de 2025 y aún se encuentra en el proceso de identificar los registros afectados seis meses después.
Según un portavoz de Synnovis, aunque la empresa actúa como procesadora de datos y no decide sobre la comunicación a pacientes, considera que la información sustraída, debido a su fragmentación, no representa un riesgo elevado para los afectados. Sin embargo, las entidades implicadas aún evalúan qué datos fueron robados y si es necesario informar a los pacientes.
Este ciberataque, conocido como Qilin, fue uno de los más dañinos sufridos por el NHS. Paralizó los servicios de patología en el sureste de Londres, obligando a cancelar miles de citas y operaciones, mientras los profesionales médicos enfrentaron importantes retrasos en pruebas sanguíneas y transfusiones. Posteriormente, los datos de los pacientes se publicaron online tras fracasar la extorsión de los ciberdelincuentes.
El impacto no se limitó a las demoras y cancelaciones: el año pasado, King’s College Hospital NHS Foundation Trust confirmó que las demoras provocadas por este ataque contribuyeron a la muerte de un paciente, siendo uno de los primeros casos oficiales de fatalidad relacionada con un ransomware en el NHS.
