La División de Epidemiología del Centro de Cáncer de la Universidad de Hawái confirmó que un ataque de ransomware descubierto en agosto de 2025 ha expuesto potencialmente información personal de casi 1,2 millones de personas, según avisos oficiales de la institución y los informes sobre la brecha. El ciberataque tuvo como objetivo servidores que contenían datos de investigación epidemiológica, lo que llevó al cifrado y probable exfiltración de archivos de datos que incluían números de la Seguridad Social, información del permiso de conducir y registros de registro de votantes. Los investigadores señalaron que el incidente no afectó a las operaciones clínicas, a los sistemas de atención al paciente ni a los registros estudiantiles de la Universidad de Hawái.
La brecha salió a la luz por primera vez el 31 de agosto de 2025, cuando el personal de TI de la universidad detectó actividad no autorizada en los servidores de investigación utilizados por la División de Epidemiología del Centro de Cáncer. La división apoya estudios de larga duración sobre el riesgo de cáncer y los patrones de enfermedad, incluyendo el Estudio de la Cohorte Multiétnica (MEC) establecido en 1993. El Estudio MEC reclutó participantes de Hawái y Los Ángeles para examinar los riesgos de cáncer en diversas poblaciones, y los datos históricos vinculados a ello se encontraron entre los registros consultados durante el ataque.
La evaluación preliminar de la universidad encontró que los archivos relacionados con el estudio MEC contenían nombres y números de Seguridad Social de los participantes. La brecha también implicó registros históricos de permisos de conducir recopilados en 2000 por el Departamento de Transporte del Estado de Hawái y datos de registro de votantes de Honolulu de 1998, ambos con números de la Seguridad Social como identificadores en el momento de la recogida. La combinación de estas fuentes amplió el número de personas potencialmente afectadas más allá de los participantes del estudio MEC.
En un aviso de febrero, los funcionarios informaron que cartas que ofrecían servicios de monitorización de crédito y protección de identidad se enviaron a unas 87.493 personas que participaron en el estudio del MEC y cuya información de contacto fue confirmada. La universidad también afirmó haber localizado los datos de contacto de unas 900.000 personas más cuya información podría haber sido incluida en los registros históricos comprometidos. El aviso de la brecha continúa por correo electrónico y un sitio web dedicado a información para quienes puedan verse afectados.
Los atacantes cifraron los sistemas comprometidos, lo que retrasó los esfuerzos de restauración y dificultó evaluar de inmediato el alcance total de la brecha. La universidad contrató expertos externos en ciberseguridad y comunicó el incidente a las fuerzas del orden como parte de su respuesta. En el momento del ataque, las autoridades obtuvieron una herramienta de descifrado y dijeron que habían asegurado que cualquier información robada sería destruida, aunque no han proporcionado detalles sobre la identidad de los actores de la amenaza.
La dirección universitaria afirmó que el ataque se limitó a los sistemas de la División de Epidemiología y no afectó a los ensayos clínicos, la atención al paciente ni a otras divisiones del Centro Oncumbrero. El rector de la universidad anunció planes para una revisión exhaustiva de los sistemas de tecnología de la información en todos los campus para identificar y reforzar los controles de seguridad en entornos de investigación y administración.
El impacto de la brecha se relaciona principalmente con datos de investigación histórica que contenían identificadores personales sensibles. Las investigaciones para determinar si se accedió o exfiltró a otros tipos de información continúan, y la universidad afirma que notificará a las personas por separado si se identifican datos comprometidos adicionales.
En respuesta al incidente, la universidad ha implementado medidas que incluyen el endurecimiento de la red, la ampliación de la protección de endpoints con monitorización continua, la migración de servidores de investigación sensibles a centros de datos gestionados, controles de acceso más estrictos para datos sensibles y una formación reforzada en ciberseguridad para el personal. También se contratan terceros independientes para evaluar y validar los controles de seguridad del Centro Oncerológico.
Los responsables universitarios han animado a los potencialmente afectados a utilizar los servicios de monitorización de crédito y protección de identidad que se ofrecen y a mantenerse informados a través de los canales oficiales de comunicación universitaria y la página web dedicada a los recursos para el ciberataque.