El mayor ciberataque sanitario de la historia

Un ciberataque contra el sistema sanitario estadounidense ha hecho saltar todas las alarmas. ¿Qué enseñanzas podemos extraer de esta crisis?

Ransomware contra el sector sanitario

Change Healthcare, la empresa encargada de gestionar los pagos y recetas médicas de la sanidad estadounidense sufrió un ataque de ramsomware el pasado 21 de febrero. Según la Asociación de Hospitales estadounidense (AMA) se trata «del ciberataque más importante contra el sistema sanitario estadounidense en toda la historia del país». La tecnología de Change Healthcare procesa cada año 15.000 millones de pagos de pacientes y tiene relación con un tercio de todos los historiales médicos de los Estados Unidos. El ciber ataque contra Change Healthcare obligó a suspender el servicio, con lo que centenares de hospitales y centros médicos de todo el país no pueden emitir recetas ni recibir pagos, entre otras muchas funciones. El incidente no tardó en saltar a las páginas de las redes sociales, donde los pacientes expresaban su frustración por no poder obtener medicamentos.

El incidente comenzó la mañana del miércoles 21 de febrero, y, a fecha 7 de marzo, todavía continua: más de 15 días. Aunque se han creado mecanismos alternativos, estos suponen una gran carga de trabajo adicional y no pueden sustituir al sistema original. Change ha confirmado que el ataque se debió al grupo de ransomware Blackcat, el cual afirma haber robado seis Terabites de información de Change.

Daños astronómicos

Según Brian Krebs, experto en ciberseguridad, «existen indicios de que Change Healthcare ha hecho un pago de 22 millones de dólares al tristemente célebre grupo de ransomware BlackCat. No obstante, el cibercriminal que afirma haber dado a BlackCat acceso a la red de Change dice que la banda criminal no cumplió su parte de lo acordado, y todavía tienen los datos sensibles que Change supuestamente pagó para que destruyeran.» Según otro experto, Brett Callow, de la firma de seguridad Emsisoft, «si Change pagó, entonces tenemos un problema, pues estamos anunciando la rentabilidad de los ataques contra el sector sanitario. Si hay algo que caracteriza a las bandas de ransomware, es que son predecibles; si encuentran un sector lucrativo, lo atacarán una y otra vez, de forma sistemática.»

Demandas colectivas

Además de los daños a la salud y a la privacidad de los pacientes, los daños económicos serán astronómicos. Se han presentado ya cinco demandas colectivas por la pérdida de datos, una cifra que se espera que crezca considerablemente durante los próximos días, semanas y meses. El desastre está siendo tan grande que algunos actores implicados afirman que es peor que la crisis del COVID. Según Errol Weiss, del Information Sharing and Analysis Center, «cuanto más se prolongue, es más probable que otros sistemas fallen. Tendremos más inconvenientes para el paciente… creo que vamos a ver más hospitales con problemas financieros a causa de las dificultades para recibir cobros.» La CEO de Arlington Health, empresa que gestiona cinco clínicas de cuidados intensivos en Ohio, comenta que «esto es peor que cuando vino el COVID. Aunque entonces no cobramos durante un tiempo, al menos sabíamos que habría una solución. Ahora, no vemos el final del túnel. No tenemos idea de cuándo volverá a funcionar Change.»

Lecciones aprendidas

Aunque la crisis todavía no ha finalizado, ¿qué lecciones podemos extraer de todo esto para que no ocurra algo parecido en Europa?

El estado nunca podrá dejar de ser un actor en el sistema sanitario. El sistema estadounidense está completamente privatizado, pero, como también ocurrió con el COVID, las empresas están apelando al estado para que acuda al rescate. En este sentido, la Asociación Médica estadounidense (AMA) y la Asociación de Hospitales estadounidenses (AHA) han enviado sendas cartas a los funcionarios federales. En sus misivas, piden ayuda urgente para paliar las consecuencias del ciberataque. «Este incidente exige una respuesta completa del gobierno», afirma el presidente de la AHA en una carta dirigida a los líderes republicanos y demócratas en las dos cámaras.

Por otra parte, la aplicación de criterios exclusivamente mercantilistas, no sanitarios, la «codicia de las grandes empresas» ha contribuido a agravar la crisis. Según la Dra. Bárbara McAneny, ex presidenta de la Asociación Médica estadounidense, «Esto es lo que ocurre cuando todo se fusiona y solo existe una opción. Cuando hay una sola opción, los hackers tienen un gran objetivo. Saben que, si lo cierran, pueden colapsar toda la sanidad estadounidense».  Al hilo de todo esto, podemos repetir lo dicho en editoriales anteriores: la salud digital debe ser dirigida y gestionada por el profesional sanitario. Ha de ser supervisada con criterios sanitarios. El objetivo debe ser la salud de la población, no el beneficio económico. Si no es así, corremos el riesgo de «deshumanizar la medicina».

Sin ciberseguridad no hay salud digital. La crisis de Change Healthcare, aunque agravada por las características del sistema sanitario de los EE. UU., nos vuelve a recordar la importancia crucial de la ciberseguridad. En este sentido, es necesaria la implicación de actores estatales y supraestatales como la Unión Europea. Organizaciones cuyo criterio rector no sea la optimización de costes y beneficios, sino la seguridad de entidades y colectivos de población.