Violación de DXS International: Lecciones aprendidas para la atención médica

Por Kate O'Flaherty • 19 de Febrero de 2026

Ante el aumento de incidentes de alto riesgo en el sector sanitario, las organizaciones deben aprender a gestionar la seguridad de la información, la protección de datos y los riesgos de la IA como un desafío de gobernanza interconectado. ¿Cómo lograrlo?

Por Kate O'Flaherty

El 14 de diciembre de 2025, DXS International, que proporciona información sanitaria y apoyo a la toma de decisiones clínicas para aproximadamente el 10 % de todas las derivaciones del NHS en Inglaterra, sufrió una violación de datos que afectó a los servidores de su oficina.

En una presentación En un comunicado con la Bolsa de Valores de Londres, DXS International afirmó que la brecha fue "contenida de inmediato" gracias a un esfuerzo conjunto de sus equipos internos de seguridad informática, en estrecha colaboración con el Servicio Nacional de Salud de Inglaterra (NHS England). Sin embargo, poco después, el grupo de ransomware DevMan... afirmó haber robado 300 GB de datos, incluidos presupuestos internos y archivos financieros.

Si bien el incidente en sí tuvo un impacto mínimo y los servicios clínicos de primera línea de la empresa siguieron operativos, es un excelente ejemplo de cómo el riesgo de terceros puede propagarse a través de la cadena de suministro.

Ante el aumento de incidentes como este, las organizaciones sanitarias deben aprender a gestionar la seguridad de la información, la protección de datos y el riesgo de la IA como un desafío de gobernanza interconectado. ¿Cómo se puede lograr esto?

Un problema importante

Dado que los servicios de DXS International se mantuvieron operativos, es fácil descartar la filtración como algo sin importancia. Sin embargo, aunque los servicios clínicos de primera línea se mantuvieron operativos, podrían surgir otros problemas más adelante, afirma Skip Sorrels, director de tecnología y director de seguridad de la información de campo de Claroty. "Al comprometer la estructura administrativa de la atención médica, se generan riesgos a largo plazo, como el robo de identidad, las campañas de phishing y la pérdida de confianza de los pacientes".

Sorrels señala que “operativo” no significa “seguro”: “Los atacantes apuntan deliberadamente a los sistemas administrativos más flexibles porque saben que estos proveedores a menudo carecen del mismo rigor de seguridad que la infraestructura clínica que respaldan”.

Kevin Curran, miembro sénior del IEEE y profesor de ciberseguridad en la Universidad del Ulster, coincide con esta evaluación: «Los datos robados pueden utilizarse indebidamente, afectando la privacidad del paciente durante años».

Describe cómo las repercusiones financieras, incluyendo los costos de investigación, los honorarios legales y las posibles multas, podrían agotar los recursos ya de por sí limitados de los servicios de salud pública. «Además, pone de relieve problemas sistémicos en la infraestructura de salud digital, lo que impulsa un análisis más profundo de cómo las tecnologías interconectadas gestionan la información sensible».

Riesgos de terceros

El sistema sanitario del Reino Unido ha reforzado continuamente sus esfuerzos cibernéticos desde Ataque de WannaCry ransomware golpeó al NHS en 2017. Los reguladores están poniendo cada vez más atención en las cadenas de suministro y reconociendo que las vulnerabilidades en los proveedores de servicios administrados o proveedores críticos pueden tener impactos de amplio alcance, dice Katharina Sommer, jefa del grupo de asuntos gubernamentales en NCC Group.

Los riesgos de terceros y de la cadena de suministro representan “uno de los desafíos de seguridad más urgentes en la atención médica”, ya que el sector depende cada vez más de proveedores externos para servicios esenciales, dice Curran.

“Los ataques a la cadena de suministro de software son muy peligrosos y cada vez más frecuentes porque explotan la naturaleza interconectada del desarrollo de software moderno”, explica Curran. IOEstos ataques se dirigen a vulnerabilidades en dependencias, procesos de compilación o componentes de terceros, lo que a menudo permite a los atacantes comprometer varias empresas a través de un único punto de fallo.

Más allá del impacto inmediato, los problemas pueden ser causados por organizaciones más pequeñas con “grandes huellas sistémicas, pero una madurez de seguridad limitada”, dice Tracey Hannan-Jones, directora consultora de seguridad de la información y GRC y DPO del grupo en UBDS Digital.

Para empeorar las cosas, el sector sanitario se enfrenta a un reto de visibilidad, según Sorrels de Claroty. «La mayoría de las organizaciones sanitarias tienen dificultades para comprender plenamente la postura de seguridad de sus proveedores externos. No se puede externalizar un servicio y creer que se ha externalizado el riesgo».

Expectativas regulatorias

Además de la seguridad de la cadena de suministro, la regulación exige cada vez más que servicios críticos como la atención médica adopten medidas adicionales para aumentar su resiliencia. Cuando se producen brechas de seguridad, se espera que quienes operan en el sector protejan los datos y cumplan con estrictos requisitos de información.

La violación de DXS International proporciona información sobre las expectativas regulatorias que rigen los datos de atención médica en el Reino Unido y la UE, en particular bajo la Reglamento General de Protección de Datos (RGPD) y las leyes de protección de datos del Reino Unido armonizadas. «Estos marcos exigen que las organizaciones que procesan datos personales, incluida la información sanitaria, garanticen medidas de protección sólidas y respondan con transparencia a los incidentes», afirma Curran, de la Universidad del Ulster.

En este caso, la “notificación inmediata” de DXS a la Oficina del Comisionado de Información (ICO) y a las autoridades policiales se alinea con el Artículo 33 del RGPD, que exige informar sobre las infracciones dentro de las 72 horas si existe un riesgo para los derechos y las libertades de las personas, dice Curran.

De manera similar, los requisitos del Reino Unido en virtud de la Ley de Protección de Datos 2018 Enfatizar la rendición de cuentas, obligando a las entidades a documentar y mitigar los riesgos asociados con el manejo de datos, afirma Curran. «La evaluación continua del incidente por parte de la ICO refleja cómo los reguladores examinan no solo la filtración en sí, sino también la idoneidad de las medidas de respuesta, incluidos los protocolos de contención e investigación», explica. IO.

Los reguladores exigen cada vez más evidencia de una gestión proactiva de riesgos porque los enfoques reactivos han demostrado ser insuficientes frente a las amenazas en evolución, como lo demuestra el creciente número de incidentes cibernéticos en la atención médica, según Curran.

Riesgos interconectados

Llega en un momento en que los riesgos cibernéticos, de privacidad e IA se están volviendo inseparables en los entornos sanitarios debido a los sistemas conectados, el intercambio de datos y la automatización. Mientras tanto, las herramientas basadas en IA están transformando los perfiles de riesgo.

El incidente de DXS International ejemplifica esta convergencia, donde la violación de la seguridad de un proveedor podría “potencialmente exponer redes integradas que manejan datos de pacientes, combinando amenazas de ciberseguridad con preocupaciones sobre la privacidad”, dice Curran.

El intercambio de datos entre ecosistemas (entre proveedores, suministradores e incluso entidades transfronterizas) erosiona aún más las fronteras tradicionales, señala. "En marcos como el del NHS Red de Salud y Asistencia SocialLa información fluye dinámicamente. Esta interconexión puede provocar que un ciberincidente derive en violaciones de la privacidad, como la divulgación involuntaria de historiales médicos confidenciales.

Teniendo en cuenta este riesgo, tratar los riesgos cibernéticos, de privacidad y de inteligencia artificial de forma aislada dentro de los entornos de atención médica “fomenta puntos ciegos importantes”, afirma Curran.

En cambio, las empresas necesitan adoptar un enfoque integrado para la gobernanza de riesgos. Esto requiere el uso de marcos integrados que integren la seguridad de la información, la protección de datos y la gobernanza de la IA para impulsar la resiliencia, la confianza y el cumplimiento normativo a largo plazo.

Por ejemplo, las organizaciones deben considerar a los agentes de IA y a los humanos como una fuerza laboral combinada que interactúa con el software y la infraestructura, afirma Javvad Malik, asesor principal de CISO en KnowBe4. «Para ello, necesitamos una rendición de cuentas clara, garantías para los proveedores y una supervisión que integre los datos, los humanos y la IA para fomentar la confianza y la resiliencia».

Marcos como el del Centro Nacional de Seguridad Cibernética Marco de evaluación cibernética, ISO 27001, y NIST Marco de ciberseguridad Proporcionan herramientas prácticas para integrar controles, políticas y métricas de riesgo, afirma Sommer, del Grupo NCC. «Esto ayuda a las organizaciones a generar confianza, demostrar cumplimiento normativo y gestionar el ciberriesgo de forma coherente y justificable».

Curran, de la Universidad del Ulster, recomienda establecer “equipos multifuncionales” compuestos por expertos en ciberseguridad, privacidad e inteligencia artificial para colaborar en las evaluaciones de riesgos, garantizando que las amenazas se evalúen a través de “una lente multifacética”.

Resilientes, confiables y preparados para el futuro

Las organizaciones de atención médica y los proveedores de los que dependen deben trabajar para desarrollar prácticas de gestión de riesgos más resilientes, confiables y preparadas para el futuro.

Para obtener resultados, las organizaciones necesitan adoptar un enfoque unificado de gestión de riesgos, afirma Ivan Milenkovic, vicepresidente de tecnología de riesgos para EMEA en Qualys. «En lugar de reinventar la rueda, los mejores equipos integran en un solo motor los estándares internacionales establecidos de seguridad, privacidad y la vanguardia emergente de la gestión de la IA».

Para ello es fundamental incorporar la gestión de riesgos en la cultura organizacional a través de políticas unificadas que exijan “auditorías regulares e integradas”, aconseja Curran, de la Universidad del Ulster.

Mientras tanto, implemente un modelo de responsabilidad compartida con sus proveedores, recomienda Sorrels de Claroty. "No trate los contratos con proveedores como algo que se establece y se olvida. Exija transparencia continua, pruebas de seguridad y que demuestren que cumplen con los estándares básicos".

Kate O'Flaherty

Kate es periodista especializada en ciberseguridad y privacidad con más de una década de experiencia cubriendo temas relevantes para usuarios, empresas y gobiernos. Además de ISMS.online, su trabajo se puede encontrar en Forbes, Wired, The Guardian, The Observer, The Times y The Economist.

Lea más de Kate O'Flaherty

La seguridad cibernética 26 de Febrero de 2026

El proyecto de ley ómnibus digital de la UE se unió al cumplimiento en la agenda.

Proyecto de Ley Ómnibus Digital de la UE: Cumplimiento conjunto en la agenda

La UE ha presentado un nuevo Proyecto de Ley Ómnibus Digital diseñado para optimizar la regulación de la protección de datos, la ciberseguridad y la IA. ¿Cómo pueden las organizaciones...?

Kate O'Flaherty

La seguridad cibernética 29 de enero de 2026

Los riesgos de la violación de la API de 700credit ponen la gobernanza de la cadena de suministro financiera en el punto de mira.

Violación de 700Credit: Los riesgos de la API ponen la gobernanza de la cadena de suministro financiera en el punto de mira

¿Qué revela la filtración de datos de 700Credit sobre los riesgos del sistema de datos financieros y la cadena de suministro, y qué lecciones podemos extraer? Por Kate O'Flaherty.

Kate O'Flaherty

La seguridad cibernética 22 de enero de 2026

El cartel del desafío del cumplimiento de los servicios públicos

El desafío del cumplimiento de las normas de servicios públicos

Las empresas de servicios públicos se enfrentan a la fragmentación y los silos, lo que impide un enfoque optimizado para el cumplimiento normativo. Se necesita una base más sólida...

Kate O'Flaherty