Empresa de reclutamiento del NHS presentaba graves fallos de seguridad que podrían haber puesto en riesgo sistemas enteros.
Se sustrajo el directorio activo de NHS Professionals.
Un ataque cibernético dirigido a NHS Professionals, una entidad privada bajo el Departamento de Salud y Atención Social del Reino Unido, ocurrió en mayo de 2024, aunque nunca fue divulgado de manera pública. La intrusión parece haber sido un intento fallido de ransomware que resultó en el robo de datos del Active Directory de la organización.
Según un informe que cita a Deloitte, el ataque comenzó cuando los atacantes accedieron a través de una cuenta de Citrix comprometida. Una vez dentro, sustrajeron un archivo crítico denominado ntds.dit y llevaron a cabo más actividades maliciosas. Los delincuentes se movieron lateralmente por la red de la organización utilizando recursos como RDP y SMB, aunque no se ha aclarado cómo lograron elevar sus privilegios al nivel de administrador de dominio.
NHS Professionals es responsable de proveer personal temporal a los distintos NHS trusts en Inglaterra, registrando a más de 190,000 profesionales de la salud y contando con más de 1,000 empleados. Comentarios internos sugieren que este ataque podría estar relacionado con el grupo Scattered Spider, y aparentaba ser un intento de ransomware similar a otros incidentes que este grupo realizó en 2025, afectando a grandes minoristas en el Reino Unido.
El informe de Deloitte destaca la ausencia de autenticación multifactor (MFA) en las cuentas de dominio como una de las principales razones que facilitaron el acceso a los atacantes. Además, la falta de soluciones de detección y respuesta en los puntos finales en toda la infraestructura permitió que los delincuentes operaran sin ser detectados.
Un portavoz de NHS Professionals aseguró que “nuestros sistemas de ciberseguridad y futuras mitigaciones aseguraron que no hubiera interrupciones en nuestros servicios, y confirmamos que no se comprometió ningún dato u otra información, a pesar del intento”. La organización colaboró rápidamente con NHS England, el Departamento de Salud y Atención Social, y la Oficina del Comisionado de Información para investigar el incidente, reafirmando su compromiso con altos estándares de ciberseguridad y cumplimiento de requisitos estrictos de gobernanza de información.
