Hackers vs. diálisis: los pacientes con insuficiencia renal son extremadamente vulnerables

La empresa DaVita, uno de los mayores proveedores de servicios de diálisis renal en Estados Unidos, se enfrentó a un incidente cibernético provocado por un programa de ransomware. El incidente afectó elementos de la infraestructura informática y provocó el cifrado de parte de los recursos internos. La organización informó sobre ello en un documento oficial presentado ante la Comisión de Bolsa y Valores de EE. UU.

El ataque fue detectado el 12 de abril de 2025. Representantes de la empresa confirmaron la infección y señalaron que el software malicioso interrumpió el funcionamiento de ciertos componentes de la red. Para mitigar las consecuencias, se involucraron expertos externos en ciberseguridad, así como agentes de las fuerzas del orden. Dentro de la organización se aplicaron medidas para aislar los sistemas afectados y limitar la propagación del ataque.

La investigación continúa y, como indicó DaVita, aún no es posible determinar el alcance exacto ni las posibles consecuencias. A pesar de las interrupciones, la empresa sigue prestando atención médica a los pacientes. Se ha confirmado que las operaciones se vieron afectadas, pero aún no se puede estimar el tiempo necesario para su recuperación.

Hasta el momento de la publicación, ningún grupo conocido se ha atribuido la responsabilidad del ataque. Aún no está claro cómo lograron los atacantes acceder a la infraestructura interna. Sin embargo, según datos de Hudson Rock, decenas de empleados de DaVita fueron previamente víctimas de programas maliciosos tipo infostealer, lo que podría haber contribuido a la compromisión del acceso.

La empresa DaVita presta servicios de diálisis principalmente a pacientes en etapa terminal de insuficiencia renal. Estos pacientes requieren procedimientos regulares, normalmente tres veces por semana. La organización gestiona una red de 3166 centros ambulatorios, de los cuales 2657 se encuentran en territorio estadounidense. A finales de 2024, se atendía a unos 281 100 pacientes. En las divisiones estadounidenses de DaVita trabajan más de 55 mil personas.

DaVita también opera fuera de EE. UU., en 13 países. A pesar de su escala, el ataque evidenció la vulnerabilidad incluso de los actores más grandes del sector salud ante la creciente ola de amenazas cibernéticas. En un contexto donde incidentes similares pueden afectar infraestructuras críticas, la resiliencia de los sistemas informáticos médicos se vuelve cada vez más relevante.

La situación de DaVita no es el primer caso de compromiso en el sector salud, pero genera una preocupación adicional debido a la magnitud y sensibilidad de los datos afectados. El resultado de la investigación determinará qué lecciones aprenderá no solo la empresa, sino también toda la industria.