Una empleada del Centro Médico de la Universidad de Vermont abrió accidentalmente un archivo enviado por correo electrónico de su asociación de propietarios, que había sido pirateado, en octubre de 2020.
Ese único error eventualmente llevó a la Red de Salud de la Universidad de Vermont, que incluye el hospital más grande del estado en Burlington, a cancelar cirugías, posponer citas para mamografías y retrasar los tratamientos de algunos pacientes con cáncer.
El consiguiente ataque de ransomware obligó a los funcionarios a cerrar todas las conexiones a Internet, incluido el acceso a los registros médicos electrónicos de los pacientes, para evitar que los ciberdelincuentes causaran más daños.
“Todo se vino abajo. Así que nuestros teléfonos estaban caídos. Ya no teníamos máquinas de fax. … No se podía usar el correo electrónico para comunicarse”, dijo el Dr. Stephen Leffler, presidente y director de operaciones del sistema, sobre el ataque en un podcast reciente de la Asociación Estadounidense de Hospitales. “Esa primera noche, enviamos a la gente a Best Buy a comprar walkie-talkies”.
En los últimos años, un número cada vez mayor de hospitales y organizaciones de atención médica en los EE. UU. se han enfrentado a ataques cibernéticos, interrumpiendo la atención y poniendo en riesgo a los pacientes. Eso incluye algunas instalaciones de salud pública administradas por gobiernos estatales o locales.
“Los hospitales se han visto muy afectados por ataques de ransomware de alto impacto durante la pandemia”, dijo John Riggi, asesor nacional de seguridad cibernética y riesgo de la Asociación Estadounidense de Hospitales.
Riggi señaló que durante la pandemia, los hospitales tuvieron que expandir rápidamente la red y la tecnología conectada a Internet e implementar sistemas remotos para apoyar al personal que cambió al teletrabajo.
“Los malos se aprovecharon de eso y tuvieron más oportunidades de ingresar a nuestras redes”, dijo.
Los ataques de ransomware han obligado a algunos hospitales a interrumpir la quimioterapia, retrasar la notificación de los resultados de laboratorio y posponer las citas de las pacientes de maternidad.
Algunos han tenido que desviar ambulancias porque sus salas de emergencia no podían aceptar nuevos pacientes.
"Lo hemos visto en múltiples ataques de ransomware, especialmente en hospitales pequeños", dijo Riggi. “El próximo departamento de emergencias podría estar a 125 millas de distancia”.
El mes pasado, el Departamento de Salud y Servicios Humanos de EE. UU. emitió una advertencia sobre una pandilla agresiva de ransomware que ataca a las organizaciones de atención médica. Entre sus víctimas: una red de hospitales y clínicas en Ohio y West Virginia que tuvo que cancelar cirugías y derivar pacientes con emergencias a otras instalaciones.
Y con la mayor amenaza de los ataques cibernéticos rusos en los EE. UU. después de la invasión de Ucrania, los sistemas de atención médica son aún más vulnerables porque se consideran infraestructura crítica, dicen los expertos.
“No tenemos conocimiento de ninguna amenaza directa creíble específica para los hospitales y los sistemas de atención médica de EE. UU.”, dijo Riggi. “Pero nos preocupa que puedan convertirse en daños colaterales en ataques lanzados por Rusia. O que las pandillas de habla rusa lanzarán ataques de represalia contra Occidente”.
En febrero, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. emitió una advertencia de "Escudos arriba" sobre la creciente amenaza cibernética rusa para las organizaciones.
El ransomware secuestra los sistemas informáticos y los mantiene como rehenes hasta que las víctimas pagan un rescate o restauran el sistema por su cuenta. Por lo general, se propaga a través del phishing, en el que los piratas informáticos envían por correo electrónico enlaces o archivos adjuntos maliciosos y las personas, sin saberlo, hacen clic en ellos, liberando malware.
En 2020 y 2021, hubo al menos 168 ataques de ransomware que afectaron a 1763 clínicas, hospitales y organizaciones de atención médica en los EE. UU., según Brett Callow, analista de amenazas de la empresa de ciberseguridad Emsisoft.
Una encuesta realizada en noviembre a 132 ejecutivos de atención de la salud, la mayoría de los Estados Unidos, descubrió que el ransomware era la principal amenaza de seguridad cibernética, más que las filtraciones de datos o las amenazas internas, según Health Information Sharing and Analysis Center, una organización mundial sin fines de lucro. grupo de intercambio de amenazas cibernéticas para la industria del cuidado de la salud.
“El cambio de registros médicos en papel a registros médicos electrónicos ha hecho que la información de salud del paciente sea más accesible; sin embargo, estos registros son más vulnerables a los ataques y son extremadamente lucrativos”, señaló el informe. Dijo que los piratas informáticos pueden exigir $ 50 por un registro de salud parcial, frente a $ 1 por un número de Seguro Social o tarjeta de crédito robado.
Históricamente, el sector de la atención de la salud se ha puesto al día en lo que respecta a la seguridad cibernética, según Errol Weiss, director de seguridad del grupo de intercambio de información de salud.
“El objetivo era cumplir con [los requisitos federales relacionados con] la privacidad de los datos de los pacientes, no la seguridad cibernética”, dijo Weiss. “Desafortunadamente, muchas organizaciones de atención médica no son tan buenas como deberían haber sido y fueron presa fácil”.
La pandemia empeoró las cosas ya que los hospitales estaban por encima de su capacidad y estaban ocupados tratando con pacientes gravemente enfermos de COVID-19.
"Ha sido la tormenta perfecta, entre el ransomware, todo el exceso de capacidad, las personas al límite y lo vulnerables que eran los sistemas", dijo Weiss.
Algunos ciberdelincuentes se dirigen deliberadamente a las organizaciones de atención de la salud; otros ataques son campañas masivas de phishing que atrapan a un empleado o contratista e introducen malware en la red, como el ataque al Centro Médico de la Universidad de Vermont.
Los atacantes terminaron encriptando los 1300 servidores del hospital y depositando malware en 5000 dispositivos, dijo el Dr. Doug Gentile, vicepresidente senior de tecnología de la información en la Red de Salud de la Universidad de Vermont.
La red de salud electrónica estaba en una parte separada de la red, pero el equipo la eliminó de manera proactiva en el hospital principal y en las clínicas ambulatorias de otros tres hospitales para evitar que fueran atacados, según Gentile.
Los funcionarios nunca se pusieron en contacto con los ciberdelincuentes ni pagaron ningún rescate, dijo, y no se comprometió ningún dato de los pacientes.
Aunque el hospital contaba con un buen sistema informático de copia de seguridad, se necesitaron 28 días para reconstruir la infraestructura y obtener una copia de seguridad de los registros de salud electrónicos, dijo Gentile. Se necesitaron varios meses más para restaurar todo el sistema.
Durante casi un mes, los médicos y las enfermeras tuvieron que hacer todo en papel.
“Acabábamos de pasar una década eliminando el papel de nuestro sistema”, dijo Gentile. “De repente, teníamos papel por todas partes. Tuvimos que conseguir archivadores”.
Para los médicos más jóvenes, fue una experiencia de aprendizaje.
“La mayoría de ellos nunca antes habían escrito órdenes en papel”, dijo. “Teníamos gente dando vueltas en los pisos ayudándolas a escribir órdenes en papel porque los médicos más nuevos no sabían cómo hacerlo”.
Otro problema: el personal no podía acceder a los horarios de la clínica para los pacientes, por lo que durante varios días no sabían quién estaba programado para venir ni cuándo.
El ataque cibernético le costó al sistema hospitalario de Vermont alrededor de $54 millones, incluida la reconstrucción de la red informática y la pérdida de ingresos, dijeron las autoridades.
Desde el ataque, han reforzado la protección de cortafuegos avanzada y el software antivirus y han bloqueado el acceso al correo electrónico personal en las computadoras del trabajo, dijo Gentile. También envían regularmente correos electrónicos de phishing a los empleados como prueba.
“Esta es una guerra armamentista en curso. Los grupos que realizan estos ataques son muy sofisticados, muy corporativos”, dijo. “Siempre estamos en alerta máxima, tratando de construir nuestras defensas contra otro ataque”.
Este artículo se publicó por primera vez en Stateline, una iniciativa de The Pew Charitable Trusts.
