Ciberataques y seguridad del paciente

Un ataque de ransomware, o lo que es lo mismo, un virus informático que encripta todos los archivos de un ordenador y “secuestra” el equipo, impidiendo acceder a él a menos que se pague una suma económica, ha afectado recientemente al sistema de salud británico (NHS por sus siglas en inglés). Al menos 16 hospitales y centros de salud de Londres, Nottingham, Herefordshire, Blackburn y Cumbria, han visto comprometida su seguridad informática y la seguridad de sus pacientes.

El ciberataque con el virus WannaCry no solo afectó a la sanidad británica, sino a instituciones y empresas de todo tipo en más de 75 países. Telefónica, FedEx o el Ministerio del Interior ruso, entre otros, también se vieron obligados a apagar todos sus ordenadores el pasado 12 de mayo. Si las consecuencias económicas para las grandes compañías pueden ser importantes, en el caso de la atención sanitaria las implicaciones en la salud y seguridad de los pacientes pueden ser incalculables.

Foto: Christiaan Colen – Flickr

Más habitual que excepcional

Aunque este es el último y más sonado ciberataque a organizaciones sanitarias la realidad es que cada vez más hospitales y compañías de salud se ven comprometidas informáticamente. De hecho, según un estudio del Instituto Ponemon(1), las empresas de salud sufren, aproximadamente, un ciberataque al mes (11,4 ataques al año) y un ataque avanzado persistente (APT) cada tres meses. Estas cifras dan mucho en qué pensar y eso que un 13% de los participantes en el estudio no es consciente de la cantidad de ataques que ha sufrido su organización.

Solo unos días antes de que se produjera el ciberataque a los hospitales del NHS el British Medical Journal publicaba un artículo acertadamente premonitorio(2). En él se recordaba el caso del Hollywood Presbyterian Medical Center, el primer hospital en reconocer el pago del “rescate” tras un cibersecuestro de sus equipos informáticos. Otros hospitales de todo el mundo han sufrido ataques similares, aunque se desconozcan las medidas que tomaron para acabar con ellos o recuperar los datos de sus pacientes. Y el autor del artículo advertía: “debemos estar preparados, pues seguramente este año otros hospitales tengan que ‘cerrar’ por un ataque de ransomware”.(2)

Riesgos sanitarios de los ciberataques

La amenaza que suponen los virus informáticos a nivel sanitario va mucho más allá del robo y filtración de historiales médicos, aunque esta sea una cuestión de máxima importancia y que merece un análisis propio. Hablamos de cómo afecta un ciberataque a la práctica clínica de un hospital (o de 16 en el caso de Reino Unido) que, de repente, tiene que apagar todos sus ordenadores y cortar las comunicaciones telefónicas.

Aunque Theresa May y otros responsables políticos británicos hayan dicho que el ciberataque no afectó a la seguridad de ningún paciente, la realidad es que se cancelaron cientos de cirugías programadas; no se pudo acceder a los resultados de pruebas diagnósticas ni realizar otras como, por ejemplo, radiografías, algo fundamental en la atención de urgencias. Hasta los recién nacidos se vieron afectados por el ataque, pues las enfermeras de maternidad no podían imprimir las etiquetas identificativas. Al menos los sistemas vitales son autónomos e independientes y su funcionamiento no se ve afectado por un ataque al sistema.

Es imposible cuantificar en qué medida afectó el ataque a la seguridad de los pacientes británicos pero, además de comprometer la atención sanitaria habitual de cada uno de los centros afectados (y el efecto cascada en días sucesivos), pudo tener consecuencias importantes en situaciones en las que el tiempo de reacción es fundamental (como en un accidente de tráfico, un ictus o un infarto).

Pero aún más preocupante que el aumento de los ciberataques es que los hospitales no estén preparados para hacerles frente. El 39% de las instituciones sanitarias no sabe cómo protegerse contra estas amenazas(1). ¿Cómo vamos a garantizar la seguridad de los pacientes en un escenario en que cada vez disponemos de más dispositivos sanitarios conectados a la red que comparten datos y permiten accesos en remoto, si todavía no somos capaces de blindar informáticamente los hospitales?

La ciberseguridad en salud es una cuestión vital a medida que la práctica médica se tecnifica y digitaliza, pues aunque las ventajas superan con creces los riesgos, la vulnerabilidad aumenta.

(1) “The Impact of Cyber Insecurity on Healthcare Organizations,” Ponemon Institute, sponsored by ESET, February 2016

(2) Chinthapalli K. The hackers holding hospitals to ransom. BMJ2017;357:j2214. doi:10.1136/bmj.j2214 pmid:28490432

Cookie	Duración	Descripción
cookielawinfo-checbox-analytics	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Analíticas".
cookielawinfo-checbox-functional	11 months	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checbox-others	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Otros".
cookielawinfo-checkbox-advertisement	1 año	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-necessary	11 months	La cookie se establece por el consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-performance	11 months	Esta cookie es establecida por el plugin GDPR Cookie Consent. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies de la categoría "Rendimiento".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_ga	2 years	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de los visitantes, de la sesión y de la campaña y para hacer un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan la información de forma anónima y asignan un número generado aleatoriamente para identificar a los visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre el uso que hacen los visitantes de un sitio web y ayuda a crear un informe analítico sobre el funcionamiento del sitio web. Los datos recogidos incluyen el número de visitantes, la fuente de la que proceden y las páginas visitadas de forma anónima.

Cookie	Duración	Descripción
IDE	1 year 24 days	Utilizado por Google DoubleClick y almacena información sobre el uso que el usuario hace del sitio web y cualquier otro anuncio antes de visitarlo. Se utiliza para presentar a los usuarios anuncios que sean relevantes para ellos según el perfil del usuario.
test_cookie	15 minutes	Esta cookie es establecida por doubleclick.net. La finalidad de la cookie es determinar si el navegador del usuario admite cookies.
VISITOR_INFO1_LIVE	5 months 27 days	Esta cookie es colocada por Youtube. Se utiliza para rastrear la información de los vídeos de YouTube incrustados en un sitio web.

Cookie	Duración	Descripción
_gat_gtag_UA_97456040_1	1 minute	Cookie relacionada con Google Analiytics
CONSENT	16 years 9 months 3 days 13 hours	Cookie relacionado con el consentimiento de Cookies.
incap_ses_1184_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_1319_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_1364_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_1371_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_1372_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_455_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_456_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_801_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_802_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_872_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_873_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
incap_ses_9153_275317	1 año	La cookie es instalada por SiteLock, que proporciona soluciones de seguridad para sitios web basadas en la nube.
wp_woocommerce_session_e2bcdc83592b8bfd0976bc5dbacb69ef	2 days	Cookie usada por Woocommerce

Login

Cart

Noticias

Ciberataques y seguridad del paciente

Más habitual que excepcional

Riesgos sanitarios de los ciberataques

Curso de Experto en Seguridad del Paciente

Seguridad del Paciente para Centros Geriátricos y Sociosanitarios

Formación en seguridad del paciente a medida de las organizaciones

Seguridad del Paciente para Servicios de Urgencias

Metodología para la Gestión de Riesgos en Seguridad del Paciente (10ª edición)