TridentLocker Ransomware expone filtración de datos del Programa de Salud del WTC

Algunas filtraciones de datos exponen números de tarjetas de crédito. Otras exponen direcciones de correo electrónico. Esta expuso los historiales médicos, números de Seguro Social y formularios completos de programas de salud de las personas inscritas en el World Trade Center Health Program, un programa federal creado para atender a quienes respondieron a los ataques del 11 de septiembre, sobrevivieron a las nubes tóxicas de polvo o vivieron y trabajaron en la zona del desastre.

Aspectos clave

1. Un ataque de ransomware expuso datos sumamente sensibles del WTC Health Program. El 4 de diciembre de 2025, Managed Care Advisors/Sedgwick Government Solutions (MCA/SGS), un contratista federal que gestiona compensaciones laborales y atención administrada para agencias gubernamentales de EE. UU., descubrió que un servidor corporativo de Secure File Transfer Protocol (SFTP) había sido comprometido. La intrusión se remontaba al 16 de noviembre de 2025, cuando un tercero no autorizado accedió al servidor y cifró archivos. El servidor comprometido almacenaba archivos del anterior contratista de la Nationwide Provider Network para el World Trade Center Health Program, una iniciativa federal que ofrece monitoreo y tratamiento médico sin costo para los respondedores y sobrevivientes del 11-S.
2. La información expuesta es extensa y especialmente dañina. No se trató de una filtración de direcciones de correo y contraseñas. La información expuesta incluye nombres y apellidos, domicilios, números de Seguro Social, fechas de nacimiento, imágenes de historiales médicos y formularios completos del WTC Health Program que contienen información de salud protegida. Para quienes están inscritos en el WTC Health Program —muchos de ellos respondedores, trabajadores de recuperación y sobrevivientes que ya enfrentan enfermedades crónicas por la exposición tóxica del 11-S— estos datos representan los detalles más íntimos de sus historiales médicos e identidades.
3. TridentLocker se atribuyó el ataque y filtró los datos en la dark web. El grupo de ransomware que se identifica como TridentLocker publicó aproximadamente 3,39 GB de datos de la organización en un sitio de la dark web alojado en Tor el 30 de diciembre de 2025. TridentLocker opera como un ransomware-as-a-service (RaaS) que surgió a finales de noviembre de 2025, utilizando tácticas de doble extorsión: cifrar sistemas y amenazar con publicar los datos robados si no se paga el rescate. El grupo ha listado 12 víctimas desde su aparición, abarcando sectores de manufactura, gobierno, TI y servicios profesionales en Norteamérica y Europa.
4. La divulgación oficial llegó meses después de la filtración. MCA/SGS notificó la filtración al Fiscal General de New Hampshire el 10 de febrero de 2026, casi tres meses después del acceso no autorizado inicial del 16 de noviembre de 2025. Las notificaciones a las personas afectadas comenzaron el 11 de febrero de 2026. Aunque el informe inicial menciona aproximadamente a tres residentes de New Hampshire, la naturaleza de los datos —registros del WTC Health Program de una red nacional de proveedores— indica que el alcance real de la exposición va mucho más allá de un solo estado.
5. La infraestructura SFTP sigue siendo un objetivo valioso y poco protegido. La filtración explotó un servidor SFTP, infraestructura de transferencia de archivos que, por diseño, agrupa datos sensibles de múltiples proveedores y programas. Los servidores SFTP usados en salud y gobierno suelen almacenar grandes volúmenes de información de salud protegida (PHI) e información personal identificable (PII) en repositorios concentrados, lo que los hace especialmente atractivos para operadores de ransomware. Este incidente resalta una vulnerabilidad persistente en la forma en que las entidades reguladas y sus asociados gestionan los sistemas de transferencia de archivos, especialmente cuando estos soportan programas de salud con datos de participantes extraordinariamente sensibles.

Ese contexto importa. Cambia por completo el cálculo del riesgo.

El WTC Health Program, administrado por el Instituto Nacional para la Seguridad y Salud Ocupacional (NIOSH) de los CDC, ofrece monitoreo y tratamiento médico para condiciones de salud relacionadas con el 11-S sin costo para los respondedores y sobrevivientes elegibles. Entre los participantes hay bomberos, policías, paramédicos, trabajadores de construcción involucrados en la recuperación y limpieza, y residentes expuestos a los contaminantes tóxicos liberados por el colapso de las torres del World Trade Center. Muchos de ellos han desarrollado cáncer, enfermedades respiratorias, trastornos digestivos y condiciones de salud mental vinculadas a la exposición. Sus historiales médicos no son archivos médicos rutinarios. Son documentación detallada de exposiciones laborales, evolución de enfermedades crónicas y tratamientos continuos de condiciones asociadas a uno de los eventos más significativos de la historia estadounidense.

Cuando esos registros terminan en un sitio de filtraciones en la dark web, el daño no es abstracto.

¿Qué ocurrió? Línea de tiempo

La secuencia de eventos es sencilla, y ese es parte del problema.

El 16 de noviembre de 2025, un tercero obtuvo acceso no autorizado a un servidor SFTP corporativo operado por Managed Care Advisors/Sedgwick Government Solutions. El servidor se usaba para almacenar archivos asociados a la Nationwide Provider Network del WTC Health Program. El atacante cifró archivos en el servidor, una señal clara de un ataque de ransomware.

MCA/SGS descubrió la filtración el 4 de diciembre de 2025. El servidor afectado fue puesto en cuarentena, se deshabilitaron todas las conexiones y se restauró una copia de seguridad segura al día siguiente, 5 de diciembre. La empresa contrató a Mandiant, una firma líder en respuesta a incidentes, para realizar un análisis forense y notificó al FBI.

El 30 de diciembre de 2025, TridentLocker publicó aproximadamente 3,39 GB de datos de la organización en un sitio de filtraciones de la dark web alojado en Tor. El grupo se atribuyó el ataque, usando el modelo estándar de doble extorsión: cifrar sistemas, robar datos y amenazar con su publicación si no se paga el rescate.

Sedgwick confirmó públicamente el incidente a principios de enero de 2026, enfatizando que su subsidiaria de soluciones gubernamentales está segmentada del resto de las operaciones de Sedgwick y que no se accedió a servidores de gestión de reclamaciones. La notificación formal de la filtración al Fiscal General de New Hampshire se realizó el 10 de febrero de 2026, con notificaciones individuales a partir del 11 de febrero.

A las personas afectadas se les está ofreciendo 12 meses de monitoreo de crédito y protección contra robo de identidad a través de Kroll, y se ha establecido un centro de llamadas dedicado para responder dudas.

Por qué los servidores SFTP siguen siendo atacados

Si la filtración de Managed Care Advisors te resulta familiar, es porque sigue un patrón que se repite en el sector salud y el gobierno desde hace años. La infraestructura de transferencia de archivos —servidores SFTP, plataformas de transferencia de archivos gestionada (MFT) y sistemas similares— sigue apareciendo como el punto de compromiso en filtraciones importantes.

La razón no es complicada. Los servidores SFTP están diseñados para recibir, almacenar y transmitir archivos entre organizaciones. En salud, esos archivos suelen contener la mayor concentración de PHI y PII de todo el entorno: datos de reclamaciones, registros de elegibilidad, imágenes médicas, formularios de inscripción, números de Seguro Social y más. Un solo servidor SFTP puede agrupar datos sensibles de múltiples proveedores, programas y agencias en un solo lugar.

Para los atacantes, eso convierte la infraestructura SFTP en una tienda única. Comprometer un solo servidor puede dar acceso a un volumen masivo de datos valiosos sin necesidad de moverse lateralmente por una red empresarial ni superar varias capas de seguridad en los endpoints.

Las defensas que deberían proteger estos sistemas son bien conocidas: autenticación robusta (multifactor, no solo contraseñas), cifrado de datos en reposo y en tránsito, controles de acceso sólidos que limiten quién y qué puede acceder al servidor, monitoreo y alertas en tiempo real ante accesos anómalos y registros de auditoría inmutables que generen una pista forense.

Los principios de confianza cero —verificar cada solicitud de acceso, aplicar el menor privilegio y asumir el compromiso como principio de diseño— son especialmente relevantes para sistemas de transferencia de archivos que agrupan datos sensibles de múltiples fuentes.

Sin embargo, una y otra vez, las filtraciones que involucran sistemas SFTP y MFT revelan fallos en una o más de estas áreas. Ya sea por autenticación débil, accesos no monitoreados, falta de cifrado en reposo o ausencia de detección de anomalías, el patrón se repite porque lo fundamental sigue descuidándose en sistemas que no siempre reciben la misma atención de seguridad que las aplicaciones clínicas más visibles.

El panorama del ransomware en salud empeora, no mejora

La filtración de MCA/SGS no ocurrió en el vacío. Llegó durante el peor periodo de actividad de ransomware que el sector salud haya experimentado.

Los incidentes de ransomware en salud alcanzaron su mayor cifra trimestral del año en los últimos tres meses de 2025, con 190 ataques registrados solo en el cuarto trimestre, según el informe de inteligencia de amenazas de Health-ISAC. Los incidentes cibernéticos totales en todos los sectores ascendieron a 8.903 en 2025, lo que representa un aumento del 55 por ciento respecto a 2024. Los incidentes específicos de salud crecieron un 21 por ciento interanual.

Las cifras son preocupantes, pero las tácticas lo son aún más. Se estima que el 96 por ciento de los incidentes de ransomware dirigidos a salud ahora implican exfiltración de datos, el modelo de doble extorsión donde los atacantes roban datos antes de cifrar los sistemas. Incluso si una organización puede recuperarse del cifrado mediante copias de seguridad, los datos robados dan a los atacantes una segunda palanca: paga, o publicamos los registros de tus pacientes.

Esto es exactamente lo que ocurrió con TridentLocker y MCA/SGS. Los datos no solo fueron cifrados. Fueron robados y publicados en un sitio de filtraciones en la dark web. La restauración de copias de seguridad resolvió la interrupción operativa, pero no abordó el hecho de que los datos de los participantes del WTC Health Program ya estaban en manos de una organización criminal.

El propio ecosistema de ransomware se ha fragmentado. Grupos más pequeños y ágiles y nuevas plataformas de ransomware-as-a-service dominan ahora el panorama. TridentLocker es un ejemplo: el grupo surgió apenas a finales de noviembre de 2025 y ya había reclamado una docena de víctimas a principios de enero de 2026. Las barreras de entrada para operar ransomware siguen cayendo, y el sector salud, con su concentración de PHI valiosa y su sensibilidad operativa ante el tiempo de inactividad, sigue siendo la industria más atacada.

La exposición regulatoria y legal es significativa

Cuando una filtración involucra tanto PII como PHI, y afecta a un programa de salud financiado federalmente regido por HIPAA y la James Zadroga 9/11 Health and Compensation Act, la exposición regulatoria va mucho más allá de una oferta de monitoreo de crédito.

La Oficina de Derechos Civiles (OCR) del HHS, que hace cumplir la HIPAA Security Rule, ha intensificado las acciones contra entidades reguladas y asociados que no implementan requisitos de seguridad fundamentales. Solo en los primeros cinco meses de 2025, la OCR anunció 10 acuerdos con organizaciones de salud por filtraciones de datos, con multas que alcanzan millones. Un tema recurrente en esas acciones: organizaciones que nunca evaluaron correctamente sus propias vulnerabilidades de seguridad.

Para MCA/SGS, las preguntas de los reguladores son previsibles. ¿Se aplicaba autenticación multifactor en el servidor SFTP comprometido? ¿Los datos en reposo estaban cifrados? ¿Los controles de acceso restringían quién podía acceder a los archivos del WTC Health Program? ¿Existía monitoreo en tiempo real y detección de anomalías? ¿Había una pista de auditoría inmutable que permita reconstruir exactamente qué datos se accedieron y cuándo?

Y más allá de la investigación regulatoria, ya se están formando demandas colectivas. Abogados han comenzado a investigar si las personas afectadas pueden reclamar por pérdida de privacidad, gastos directos y otros daños derivados de la filtración. Para una población que ya carga con enfermedades relacionadas con el 11-S, la posibilidad de robo de identidad y fraude médico suma un daño literal.

Qué deben hacer ahora las personas afectadas

Si recibiste una notificación de filtración de Managed Care Advisors/Sedgwick Government Solutions, o crees que tu información pudo haber sido expuesta a través de la Nationwide Provider Network del WTC Health Program, hay pasos concretos que debes tomar de inmediato.

Inscríbete en el monitoreo de crédito y los servicios de restauración de identidad gratuitos ofrecidos por Kroll. Estos servicios duran 12 meses y pueden alertarte sobre actividad sospechosa en tu historial crediticio.

Solicita tus informes de crédito gratuitos a las tres principales agencias —Equifax, Experian y TransUnion— y revísalos cuidadosamente en busca de cuentas, consultas o actividad que no reconozcas.

Considera colocar una alerta de fraude o un congelamiento de seguridad en tus archivos de crédito. Una alerta de fraude notifica a los acreedores que deben tomar medidas adicionales para verificar tu identidad antes de abrir nuevas cuentas. Un congelamiento de seguridad va más allá, impidiendo que se abran cuentas de crédito nuevas a tu nombre hasta que levantes el congelamiento.

Supervisa tus estados de explicación de beneficios (EOB) y cualquier correspondencia relacionada con atención médica en busca de señales de fraude de identidad médica. Cuando se expone PHI, existe un riesgo real de que la información robada se use para obtener servicios médicos o medicamentos a tu nombre, lo que puede corromper tus registros médicos y complicar tu atención.

Si tienes preguntas, MCA/SGS ha establecido un centro de llamadas dedicado para ayudar a las personas afectadas.

Qué deben aprender las organizaciones que gestionan datos de salud sensibles

La filtración de Managed Care Advisors/Sedgwick es un caso de estudio sobre los riesgos específicos que enfrentan las organizaciones que gestionan infraestructura de transferencia de archivos para programas de salud especializados. Hay tres prioridades clave.

Trata los sistemas de transferencia de archivos como objetivos de alto valor, porque los atacantes ya lo hacen. Los servidores SFTP, plataformas MFT y sistemas similares que agrupan datos sensibles de múltiples fuentes requieren controles de seguridad acordes a su perfil de riesgo. Eso significa autenticación multifactor, cifrado en reposo y en tránsito, controles de acceso granulares basados en roles, detección de anomalías en tiempo real y registros de auditoría inmutables. No son metas aspiracionales, son requisitos mínimos para sistemas que almacenan PHI y PII.

Aplica principios de confianza cero en cada vía de datos, no solo en el perímetro de la red. El cambio hacia una arquitectura de confianza cero implica verificar cada solicitud de acceso, aplicar el menor privilegio para que usuarios y sistemas solo accedan a los datos necesarios para su función específica y asumir que cualquier componente puede estar comprometido. Para sistemas de transferencia de archivos, esto significa controlar el acceso a nivel de carpeta y archivo, restringir conexiones por IP y ubicación geográfica e implementar accesos temporales para colaboradores puntuales. La confianza nunca debe ser implícita.

Construye y prueba la resiliencia frente a ransomware antes de necesitarla. Las copias de seguridad cifradas y segmentadas son esenciales. Los planes de respuesta a incidentes deben contemplar escenarios de doble extorsión donde los datos se roban antes del cifrado. La preparación forense —la capacidad de reconstruir exactamente qué se accedió, cuándo y por quién— no es opcional cuando se trata de PHI. Y el plan de respuesta debe probarse regularmente, no dejarse en un cajón hasta que el servidor SFTP deje de funcionar.

Por qué el SFTP heredado es el problema y qué lo reemplaza

Aquí está la verdad incómoda detrás de esta filtración: la infraestructura SFTP tradicional nunca fue diseñada para el entorno de amenazas en el que opera hoy. Las implementaciones SFTP heredadas suelen depender de scripts manuales, instancias de servidores dispersas y herramientas de seguridad añadidas que generan brechas en lugar de cerrarlas. Cada servidor tiene su propia configuración, políticas de acceso y formato de registros —si es que tiene registros—. Cuando un grupo de ransomware como TridentLocker ataca uno de esos servidores, la organización a menudo ni siquiera puede reconstruir qué se llevó, mucho menos demostrar a los reguladores que los controles estaban en vigor antes del compromiso.

Ese es el problema arquitectónico que permitió la filtración de MCA/SGS. No fue falta de conciencia. Fue falta de consolidación.

Kiteworks fue creado para eliminar precisamente este tipo de riesgo. Su enfoque en la seguridad SFTP comienza en la capa de infraestructura y se expande hacia afuera, reemplazando el modelo fragmentado heredado por una plataforma unificada que centraliza políticas, administración y registros de auditoría en todos los canales de transferencia de archivos.

La base es un dispositivo virtual reforzado con una arquitectura segura por defecto y una superficie de ataque mínima. Un firewall integrado y un firewall de aplicaciones web protegen el perímetro, mientras que una filosofía de diseño de asunción de compromiso protege contra amenazas persistentes avanzadas. Esto no es resiliencia teórica: cuando surgió la vulnerabilidad Log4Shell, la arquitectura de aislamiento de Kiteworks redujo la exposición de un CVSS 10 crítico a un CVSS 4. La plataforma se refuerza continuamente con las mejores prácticas de OWASP, estrategias ofensivas y defensivas de seguridad, pruebas de penetración externas y programas de recompensas.

El cifrado va más allá de lo que ofrecen la mayoría de soluciones SFTP. Kiteworks proporciona cifrado doble para datos en reposo, TLS 1.3 para datos en tránsito, claves gestionadas por el cliente (BYOK) para control total del material criptográfico y opciones de cifrado validadas FIPS 140-3 que cumplen requisitos federales. En la filtración de MCA/SGS, el servidor SFTP comprometido almacenaba datos del WTC Health Program. Si esos datos hubieran estado protegidos con cifrado doble y claves gestionadas por el cliente, la exfiltración por sí sola no habría dado a TridentLocker archivos utilizables.

En el lado de la seguridad de contenido, Kiteworks implementa intercambio de datos de confianza cero que trata cada archivo como una posible amenaza. El desarmado y reconstrucción de contenido (CDR) elimina amenazas incrustadas al reconstruir todos los archivos antes de su entrega. Cada archivo es analizado —sin límites por tamaño— usando análisis antivirus multi-motor con inteligencia de amenazas en tiempo real y análisis de comportamiento para detección de ataques del día cero. Esta es la capa que detecta archivos maliciosos antes de que lleguen al servidor y alerta sobre actividad anómala si un atacante intenta usar el canal de transferencia para exfiltrar datos.

La prevención de pérdida de datos está unificada en SFTP, correo electrónico, uso compartido de archivos y APIs bajo un único motor de políticas. Kiteworks evalúa el contenido en tiempo real según lo que hay en el archivo, quién lo envía y a dónde va, y aplica flujos de remediación automatizados como cuarentena, cifrado y notificaciones. La integración con plataformas DLP empresariales como Microsoft Purview y Forcepoint permite a las organizaciones mantener su inversión DLP existente y fortalecer la seguridad de transferencia de archivos.

La capa de auditoría y cumplimiento es donde Kiteworks resuelve uno de los aspectos más dañinos de filtraciones como la de MCA/SGS: la incapacidad de responder a los reguladores después del incidente. Cada acción en cada canal alimenta un registro de auditoría unificado con integración SIEM para monitoreo centralizado. La automatización de políticas integrada elimina las vulnerabilidades de scripting manual que afectan a las implementaciones SFTP heredadas. Los sistemas de detección de intrusiones ofrecen monitoreo continuo. Y toda la plataforma es compatible con FedRAMP High-ready y autorización IRAP para organizaciones con requisitos de seguridad de nivel gubernamental.

El diferenciador clave es la consolidación. El SFTP heredado dispersa datos sensibles en varios servidores, cada uno con su propia postura de seguridad, brechas y puntos ciegos. Kiteworks reemplaza esa fragmentación con una arquitectura de Red de Contenido Privado de tenencia única, controles de acceso centralizados de menor privilegio, integración LDAP y SSO para autenticación y un solo motor de políticas que rige cada transferencia de archivos en la organización. Menos servidores. Menos brechas. Menos lugares donde un TridentLocker puede esconderse.

La filtración de MCA/SGS también refuerza una lección más amplia que el sector salud ha aprendido por las malas: los asociados de negocio y subcontratistas que gestionan PHI son una extensión de la postura de seguridad de la entidad regulada. Los participantes del WTC Health Program cuyos datos fueron expuestos no eligieron a MCA/SGS como custodio de sus datos. Se inscribieron en un programa federal de salud. La obligación de proteger su información recae en cada contratista, subcontratista y sistema en la cadena, y la infraestructura que estos usan para almacenar y transferir datos es donde esa obligación se cumple o se rompe.