El ejemplo de hasta dónde puede afectar un ataque de ransomware a una organización sanitaria

  • Santiago Appdemecum
  • Salud Digital
El acceso al contenido completo es sólo para profesionales sanitarios registrados. El acceso al contenido completo es sólo para profesionales sanitarios registrados.

CommonSpirit Health es una organización sanitaria norteamericana que gestiona más de 700 centros asistenciales -entre ellos, 142 hospitales- en 21 estados, y que constituye el segundo mayor proveedor de servicios clínicos sin ánimo de lucro de aquel país y el cuarto en general. Tiene más de 150.000 empleados y atiende a unos 20 millones de pacientes distintos al año. La razón por la que ha acaparado noticias en las últimas semanas es que ha sufrido el que puede ser el mayor ataque de ransomware dirigido hacia una red sanitaria, y ha puesto de manifiesto la relevancia de la ciberseguridad en este sector.

Un ataque de ransomware se caracteriza porque supone una intrusión en los sistemas informáticos de una organización con la finalidad de generar una extorsión, solicitando un rescate a cambio de devolverlos a su funcionalidad inicial o reintegrar paquetes de información sustraídos.

Una de las modalidades más habituales de esta modalidad delictiva consiste en introducir en una red corporativa un programa malicioso que altere los archivos de los servidores (por ejemplo, cifrándolos y haciéndolos inaccesibles), y exigir una cantidad económica a cambio de facilitar una solución al problema, bien a través de una clave o bien mediante una acción remota. Otras veces, lo que se hace es avisar de que se dispone de información confidencial sustraída de un sistema, mostrar alguna evidencia de ello, y pedir un rescate a cambio de su devolución.

Para la mayoría de las empresas, no poder trabajar con sus sistemas informáticos genera tal perjuicio que muchas acaban pagando la extorsión, que habitualmente se reclama mediante criptomonedas para que no sea posible conocer quien la cobra.

El problema de las organizaciones sanitarias es, sin embargo, especialmente grave ante estos ataques. La razón es obvia: del funcionamiento de sus sistemas dependen funciones tan críticas como el mantenimiento de la actividad asistencial, que puede tener repercusiones en la vida de los pacientes. Pero también porque puede poner el riesgo la indemnidad de la información relativa al paciente, con su carácter especialmente confidencial.

 

0x0


 

Los ataques de ransomware se han hecho bastante frecuentes, como una forma de delincuencia en la que quien perpetra el daño puede mantenerse en el anonimato. Lo que también ocurre cada vez más es que la víctima sea un hospital o una organización asistencial del tipo de CommonSpirit Health, precisamente porque el daño con el que se puede amenazar es especialmente relevante. Según un recuento que publicó el medio especializado Fierce Healthcare, en 2021 estos ataques afectaron a cerca de 45 millones de norteamericanos, frente a los 34 millones que los sufrieron en 2020.
   
Lo ocurrido y sus consecuencias.

El ataque de ransomware que sufrió CommonSpirit Health consiguió, de hecho, paralizar prácticamente toda su actividad. La empresa informó inicialmente, el 5 de octubre de 2022, sobre lo que calificó como  “un problema de seguridad de sistemas”. Una semana más tarde confirmó que se trataba de un ataque de ransomware. Posteriormente, el 17 de octubre, emitió una nueva comunicación en la que afirmaba que en algunos de sus centros no se habían producido incidencias relevantes ni para la gestión clínica ni para la atención al paciente, pero que había otros hospitales en los que sí se habían sufrido impactos muy relevantes en su actividad, y que seguían trabajando para restaurar los sistemas.

El principal daño sobre la actividad tuvo dos causas. Una, por la necesidad de reprogramar las  citas de los pacientes debido a la alteración del sistema de agenda. Pero también, y muy especialmente, debido a que muchos procedimientos clínicos se vieron igualmente afectados, por la dependencia que tienen de los sistemas corporativos. Los programas de alertas clínicas y seguimiento en domicilio de pacientes igualmente experimentaron problemas severos.

CommonSpirit Health dispone de un portal del paciente, denominado MyChart, en el que estos puede consultar su historial, descargar informes y solicitar servicios. Esta aplicación se tuvo que desconectar completamente como medida cautelar hasta la evaluación de posibles filtraciones. También se desconectó completamente el sistema de historia clínica digital, de manera que se suspendió durante bastantes días la posibilidad de incorporar datos en ella.

Y no sólo eso. Determinados proveedores -como centros de rehabilitación, farmacias, ortopedias o laboratorios de análisis clínicos- tenían acceso limitado al sistema de registros médicos desde donde se gestionaban las peticiones y los volantes, de manera que la interrupción del servicio afectó en cascada a la mayoría de ellos.

No se informó que se produjeran filtraciones de datos de pacientes, o que estos hayan sido secuestrados con la finalidad de obtener un recate. En Estados Unidos, las organizaciones sanitarias están obligadas por una ley federal a informar de cualquier fuga o extracción de información sanitaria que afecte al menos a 500 personas, lo que se ha de comunicar al Departamento de Salud norteamericano.

Tampoco se ha hecho público el tipo de software malicioso que se introdujo en la red de CommonSpirit Health, ni si los responsables de la empresa accedieron a algún tipo de transacción con los extorsionadores, aunque paree ser que no fue así. La empresa encargó una investigación forense para determinar el alcance de los daños, y tuvo que recurrir a especialistas externos en ciberseguridad. La resolución del problema ocupó no menos de tres semanas, y se realizó sobre la base del trabajo de sus propios técnicos de sistemas.  

Los expertos en ciberseguridad consideran que las organizaciones sanitarias siguen siendo excepcionalmente vulnerables a este tipo de amenazas, dado que son significativamente sensibles a la extorsión debido a la función crítica que desarrollan. Dicho de otra manera, que con vidas en juego, los hospitales tienen más que perder si no pagan. Junto a ello, algunos piensan que los servicios de salud no han avanzado lo suficiente en priorizar lo concerniente a su ciberseguridad en las fases de prevención, respuesta temprana y estrategias de contingencia.

El caso de CommonSpirit Health es, hasta el momento, el que más impacto ha tenido en términos de repercusión en la actividad asistencial y por número de pacientes. Ha permitido comprobar lo necesarias que son las medidas de protección y prevención de las intrusiones maliciosas. Y pone de manifiesto la gama tan amplia de impactos que puede llegar a tener un ataque de estas características, desde la cancelación de la actividad sanitaria, la repercusión en proveedores, y el riesgo de fuga de datos médicos de los pacientes.

Si tenemos en cuenta además lo complejo de resolver una crisis de esta naturaleza -algo que no se consigue en términos de días, sino de semanas- podemos evaluar la importancia que tiene la ciberseguridad en la sanidad y la necesidad que existe de actuar preventivamente.

Los artículos sobre tecnologías digitales en salud así como las reviews de las aplicaciones médicas son proporcionados por Appdemecum, proveedor independiente de servicios. © Appdemecum, 2017.

Artículos recomendados

Retos sugeridos
Univadis actualizará tus Términos de uso y tu Política de privacidad en % date%. Si tiene alguna pregunta sobre estos cambios, póngase en contacto con nosotros en. Si continúa utilizando Univadis después de% date%, se aplicarán los nuevos Términos de uso y la Política de privacidad. Al continuar utilizando Univadis, aceptas estos términos y políticas.
Univadis ha actualizado susTérminos de uso y su Política de privacidad. Por favor, ponte en contacto en si tienes alguna pregunta acerca de los cambios. Al continuar usando Univadis, aceptas estos términos y políticas.