Director ejecutivo de ciberseguridad arrestado tras presuntamente instalar malware en computadoras de hospital
En un impactante abuso de confianza que pone de manifiesto la creciente amenaza de ataques internos, el director ejecutivo de una empresa de ciberseguridad fue arrestado por presuntamente instalar malware en ordenadores de hospitales. Jeffrey Bowie, director de Veritaco, con sede en Oklahoma, se enfrenta a dos cargos por delitos graves en virtud de la Ley de Delitos Informáticos de Oklahoma tras su arresto el 14 de abril de 2025.
El incidente ha tenido repercusiones en la comunidad sanitaria y en la industria de la ciberseguridad, planteando preguntas críticas sobre las vulnerabilidades que presentan las personas que se supone deben defenderse de las amenazas cibernéticas, no crearlas.
Tabla de contenido
Alegaciones de una violación alarmante
Según documentos judiciales, el presunto ataque tuvo lugar el 6 de agosto de 2024 en el Hospital St. Anthony, un importante centro médico de Oklahoma City. Las imágenes de seguridad captaron a Bowie deambulando por los pasillos del hospital, intentando acceder a varias oficinas antes de encontrar dos computadoras desatendidas. Se presume que luego instaló malware diseñado para tomar capturas de pantalla de forma encubierta cada 20 minutos y enviarlas a una dirección IP externa.
Al ser interrogado por el personal del hospital, Bowie afirmó que estaba visitando a un familiar que se sometía a una cirugía y que necesitaba usar una computadora. Sin embargo, una investigación forense realizada por el equipo de seguridad informática de St. Anthony pronto reveló la instalación de software malicioso no autorizado.
“El 6 de agosto de 2024, se identificó a una persona no autorizada que accedió a una computadora del hospital en un presunto intento de instalar malware”, declaró SSM Health, el sistema de salud que opera el Hospital St. Anthony, en un comunicado oficial. “Gracias a las precauciones implementadas, el problema se solucionó de inmediato y no se accedió a la información de los pacientes”.
Antecedentes del acusado
Antes de fundar Veritaco en agosto de 2023, Jeffrey Bowie desarrolló una carrera en ciberseguridad, trabajando como ingeniero sénior de ciberseguridad en High Point Networks y ocupando otros puestos de seguridad. Veritaco, descrita en LinkedIn como especializada en ciberseguridad, análisis forense digital e inteligencia privada, era una pequeña empresa con apenas unos pocos empleados.
La violación es especialmente alarmante porque Bowie, dados sus antecedentes, habría comprendido todas las implicaciones de plantar malware dentro de un hospital, un entorno donde las vidas dependen de la integridad y confiabilidad de los sistemas informáticos.
Posibles sanciones e investigación en curso
Según la ley de Oklahoma, las infracciones graves de la Ley de Delitos Informáticos pueden acarrear graves consecuencias, como multas de entre 5.000 y 100.000 dólares, penas de prisión de hasta diez años o ambas. Actualmente, tanto el FBI como las fuerzas del orden locales continúan la investigación del caso.
Si bien ningún registro de pacientes se vio comprometido gracias a la rápida acción del personal del hospital, el caso sirve como un duro recordatorio de que las amenazas internas pueden provenir de fuentes inesperadas, incluso de aquellos que se supone que deben protegernos.
Lecciones para el sector sanitario
Las instituciones sanitarias ya sonblancos prioritarios de ciberataques debido a la naturaleza sensible de los datos que manejan. Este incidente subraya la importancia de una seguridad física robusta, controles de acceso estrictos, monitoreo constante y rigurosos procesos de verificación para cualquier persona —incluso proveedores y supuestos expertos— que entre en contacto con los sistemas internos.
Las organizaciones deben mantener una mentalidad de "confiar, pero verificar", garantizando que incluso personas con credenciales altamente acreditadas no tengan acceso sin control a infraestructura crítica. En el panorama actual, la ciberseguridad no se limita a la defensa contra atacantes externos; los peligros internos pueden ser igual de reales, y a veces incluso más devastadores.