Ciberataques y seguridad del paciente
Un ataque de ransomware, o lo que es lo mismo, un virus informático que encripta todos los archivos de un ordenador y “secuestra” el equipo, impidiendo acceder a él a menos que se pague una suma económica, ha afectado recientemente al sistema de salud británico (NHS por sus siglas en inglés). Al menos 16 hospitales y centros de salud de Londres, Nottingham, Herefordshire, Blackburn y Cumbria, han visto comprometida su seguridad informática y la seguridad de sus pacientes.
El ciberataque con el virus WannaCry no solo afectó a la sanidad británica, sino a instituciones y empresas de todo tipo en más de 75 países. Telefónica, FedEx o el Ministerio del Interior ruso, entre otros, también se vieron obligados a apagar todos sus ordenadores el pasado 12 de mayo. Si las consecuencias económicas para las grandes compañías pueden ser importantes, en el caso de la atención sanitaria las implicaciones en la salud y seguridad de los pacientes pueden ser incalculables.

Foto: Christiaan Colen – Flickr
Más habitual que excepcional
Aunque este es el último y más sonado ciberataque a organizaciones sanitarias la realidad es que cada vez más hospitales y compañías de salud se ven comprometidas informáticamente. De hecho, según un estudio del Instituto Ponemon(1), las empresas de salud sufren, aproximadamente, un ciberataque al mes (11,4 ataques al año) y un ataque avanzado persistente (APT) cada tres meses. Estas cifras dan mucho en qué pensar y eso que un 13% de los participantes en el estudio no es consciente de la cantidad de ataques que ha sufrido su organización.
Solo unos días antes de que se produjera el ciberataque a los hospitales del NHS el British Medical Journal publicaba un artículo acertadamente premonitorio(2). En él se recordaba el caso del Hollywood Presbyterian Medical Center, el primer hospital en reconocer el pago del “rescate” tras un cibersecuestro de sus equipos informáticos. Otros hospitales de todo el mundo han sufrido ataques similares, aunque se desconozcan las medidas que tomaron para acabar con ellos o recuperar los datos de sus pacientes. Y el autor del artículo advertía: “debemos estar preparados, pues seguramente este año otros hospitales tengan que ‘cerrar’ por un ataque de ransomware”.(2)
Riesgos sanitarios de los ciberataques
La amenaza que suponen los virus informáticos a nivel sanitario va mucho más allá del robo y filtración de historiales médicos, aunque esta sea una cuestión de máxima importancia y que merece un análisis propio. Hablamos de cómo afecta un ciberataque a la práctica clínica de un hospital (o de 16 en el caso de Reino Unido) que, de repente, tiene que apagar todos sus ordenadores y cortar las comunicaciones telefónicas.
Aunque Theresa May y otros responsables políticos británicos hayan dicho que el ciberataque no afectó a la seguridad de ningún paciente, la realidad es que se cancelaron cientos de cirugías programadas; no se pudo acceder a los resultados de pruebas diagnósticas ni realizar otras como, por ejemplo, radiografías, algo fundamental en la atención de urgencias. Hasta los recién nacidos se vieron afectados por el ataque, pues las enfermeras de maternidad no podían imprimir las etiquetas identificativas. Al menos los sistemas vitales son autónomos e independientes y su funcionamiento no se ve afectado por un ataque al sistema.
Es imposible cuantificar en qué medida afectó el ataque a la seguridad de los pacientes británicos pero, además de comprometer la atención sanitaria habitual de cada uno de los centros afectados (y el efecto cascada en días sucesivos), pudo tener consecuencias importantes en situaciones en las que el tiempo de reacción es fundamental (como en un accidente de tráfico, un ictus o un infarto).
Pero aún más preocupante que el aumento de los ciberataques es que los hospitales no estén preparados para hacerles frente. El 39% de las instituciones sanitarias no sabe cómo protegerse contra estas amenazas(1). ¿Cómo vamos a garantizar la seguridad de los pacientes en un escenario en que cada vez disponemos de más dispositivos sanitarios conectados a la red que comparten datos y permiten accesos en remoto, si todavía no somos capaces de blindar informáticamente los hospitales?
La ciberseguridad en salud es una cuestión vital a medida que la práctica médica se tecnifica y digitaliza, pues aunque las ventajas superan con creces los riesgos, la vulnerabilidad aumenta.
(1) “The Impact of Cyber Insecurity on Healthcare Organizations,” Ponemon Institute, sponsored by ESET, February 2016
(2) Chinthapalli K. The hackers holding hospitals to ransom. BMJ2017;357:j2214. doi:10.1136/bmj.j2214 pmid:28490432