Los cibersecuestros contra hospitales de EE. UU. se han duplicado desde 2016

MIÉRCOLES, 4 de enero de 2023 (HealthDay News) -- Los cibersecuestros de datos contra los sistemas de atención de la salud de EE. UU. se han multiplicado por más de dos en los últimos años, lo que ha afectado a la atención médica necesaria y ha expuesto la información personal de millones, informa un nuevo estudio.

Estos ataques, en que jáqueres (piratas informáticos) bloquean los sistemas computarizados hasta que la víctima acepte pagar un rescate, afectan a todos los niveles de la atención de la salud, desde el consultorio de su médico o dentista hasta los hospitales y centros quirúrgicos más grandes, según los nuevos hallazgos.

El número anual de cibersecuestros de datos contra la atención de la salud se disparó de 43 casos reportados en 2016 a 91 casos en 2021, encontraron los investigadores.

Estos ataques expusieron la información de salud personal de casi 42 millones de pacientes, hicieron que las ambulancias se desviaran en situaciones críticas, y obligaron a retrasos o cancelaciones de la atención programada.

"Parece que los perpetradores de cibersecuestros han reconocido que la atención de la salud es un sector que tiene mucho dinero, y que está dispuesto a pagar para intentar reanudar la administración de la atención de la salud, de forma que parece un área que atacan cada vez más", señaló la investigadora principal, Hannah Neprash, profesora asistente de políticas y administración de la salud de la Facultad de Salud Pública de la Universidad de Minnesota.

En este estudio, Neprash y sus colegas crearon una base de datos que monitoriza los casos de cibersecuestros en la atención de la salud. La base de datos combina la información de los reguladores federales y de una compañía privada de información sobre las amenazas de ciberseguridad.

"Encontramos que, a lo largo de varias dimensiones, la intensidad de los cibersecuestros está aumentando", advirtió Neprash. "No es una buena noticia. Es aterrador para los proveedores de atención de la salud y los pacientes".

Alrededor de un 44 por ciento de los ataques afectaron a la administración de la atención de la salud, a veces durante más de un mes, mostraron los hallazgos.

Estas alteraciones pueden ser menores, como reprogramar una revisión o una nueva corona dental, o pueden tener unas consecuencias mucho más funestas.

En 2028, una bebé falleció durante un cibersecuestro en el Centro Médico de Springhill, en Mobile, Alabama.

El octavo día del ciberataque, la bebé nació con el cordón umbilical enredado alrededor del cuello, lo que provocó un daño cerebral grave. Murió nueve meses más tarde.

Como el sistema de computadoras del hospital se había caído, los enfermeros no notaron un cambio en la frecuencia cardiaca fetal, que habría llevado a los médicos a indicar una cesárea de inmediato, planteó la madre de la bebé en una demanda.

El procedimiento podría haberle salvado la vida a la bebé, afirma la demanda, aunque el hospital niega haber cometido ninguna irregularidad, y había concluido que continuar operando durante el ciberataque era seguro.

Los ataques ponen la atención en peligro

Alrededor de una de cada cuatro organizaciones de atención de la salud señala que los ciberataques son responsables por un aumento en las muertes, según un informe de septiembre de 2021, llevado a cabo por el Instituto Ponemon, un grupo de investigación en tecnología de la información.

Estos centros de atención de la salud también afirmaron que los retrasos en los procedimientos y las pruebas resultan en malos resultados (un 70 por ciento), aumentan el número de pacientes transferidos o remitidos a otros centros (un 65 por ciento), y provocan aumentos en las complicaciones (un 36 por ciento), según el informe de Ponemon.

"Es posible imaginar que si estamos hablando de un hospital, y parte de esa atención es atención de emergencias para pacientes que de verdad necesitan una atención oportuna, un cibersecuestro en realidad altera la capacidad de un hospital de administrar esa atención oportuna", comentó Neprash.

La base de datos de Neprash reveló que un 58 por ciento de los ataques se dirigieron contra clínicas, seguidas por los hospitales (un 22 por ciento), los centros quirúrgicos ambulatorios (un 15 por ciento), los centros de salud mental (un 14 por ciento) y los consultorios dentales (un 12 por ciento).

Ahora es más probable que se robe la información de los pacientes de un sistema informático de atención de la salud que hace tan solo unos años, anotaron los autores del estudio.

"Una forma sencilla de medir un ataque es la cantidad de individuos cuya información personal de salud se expuso durante un ataque, y esa cifra se ha disparado", aseguró Neprash. "El ataque promedio exponía a más de 37,000 expedientes de pacientes en 2016. Y en 2021, se trata de unos 230,000 por ataque".

Los piratas informáticos pueden entonces vender o publicar esta información a otros malhechores. "Potencialmente, esto incluye información confidencial sobre los diagnósticos de los pacientes, la atención que recibieron o incluso información financiera", señaló Neprash.

Los hallazgos se publicaron en una edición reciente en línea de la revista JAMA Health Forum.

También es más probable que los cibersecuestros afecten a las organizaciones grandes con múltiples centros, y es menos probable que las víctimas puedan restaurar las operaciones a partir de las copias de respaldo de los datos, encontraron los investigadores.

En octubre, un cibersecuestro contra CommonSpirit Health, el cuarto sistema de salud más grande de EE. UU., con 140 hospitales, resultó en retrasos en las cirugías, la atención de los pacientes y las citas, desde Seattle hasta Tennessee.

Lamentablemente, es probable que los hallazgos de Neprash subestimen la verdadera escala de la amenaza, advirtió Lee Kim, directora sénior de ciberseguridad y privacidad de la Sociedad de Sistemas de Información y Administración de Atención de la Salud (Healthcare Information and Management Systems Society), en Chicago.

"Es muy probable que no todos los cibersecuestros se reporten", dijo Kim. "Incluso la cantidad pagada por el rescate también podría no reportarse del todo. Sin duda pienso que hay un problema más grande de lo que pensamos".

Los jáqueres también han aumentado su sofisticación, y el sistema de un centro de atención de la salud quizá se vea afectado durante meses antes de que ocurra el cibersecuestro real, añadió Kim.

Se necesitan nuevas leyes, y una mano dura

"Con frecuencia no es un ataque directo. Es más bien un evento con múltiples etapas, en que un programa maligno de bajo nivel da a los atacantes acceso al sistema, y quizá roben algunas credenciales y observen y se implanten durante una permanencia significativa", aclaró Kim.

"Y entonces, cuando han obtenido esencialmente lo que desean obtener, halan el gatillo, por así decirlo", continuó Kim. "Despliegan el cibersecuestro de datos, pero en general solo tras un periodo significativo de permanencia".

La atención de la salud ha tendido a quedarse por detrás de otros sectores de la economía estadounidense respecto a la tecnología de la información, y esto incluye a la ciberseguridad, lamentaron Neprash y Kim.

Quizá se necesiten nuevas leyes y regulaciones para incitar al sector de la atención de la salud a proteger mejor a sus sistemas informáticos, planteó Neprash, lo que incluye posibles subsidios para los hospitales más pequeños que quizá no puedan permitirse este tipo de inversión.

Las autoridades policiales también pueden aumentar sus esfuerzos para acabar con los jáqueres, señaló Kim.

"Es un trabajo duro", aseguró Kim. "Se ha hecho un buen trabajo al desarmar a estas bandas de cibersecuestros, pero sin duda debemos hacer más".

Es obvio que la seguridad informática se puede mejorar, pero el personal de atención de la salud también necesita más entrenamiento para prevenir estos ataques, enfatizó Kim.

Por ejemplo, se puede entrenar al personal de TI de atención de la salud para que busque las señales características de que alguien ha invadido el sistema y está explorándolo, preparando un ataque, dijo Kim.

Además, se debe enseñar a todo el que tenga acceso a una computadora los puntos básicos para evitar las estafas simples y los ataques de fraude electrónico (phishing) que podrían ayudar a un jáquer a entrar el sistema, añadió Kim.

"No debemos perder de vista al enemigo oculto en nuestras organizaciones, que es la amenaza interna", apuntó Kim. "Quizá un empleado inocente hace clic por accidente en un documento adjunto del trabajo en un vínculo de phishing, o, con menos frecuencia, podría tratarse de un infiltrado malicioso que desea hacer daño".

Los hospitales y los centros quirúrgicos pueden prepararse para los cibersecuestros al planificar la mejor forma de continuar con la atención del paciente durante una interrupción en el servicio informático, siguió Kim.

"Las organizaciones de atención de la salud deben pensar y hacer ensayos (es decir, practicar) de estos procesos y sistemas de respaldo, de las formas tradicionales de sacar información y de comunicarse entre sí", añadió Kim. "Lamentablemente, en un momento u otro habrá un evento cibernético de este tipo, y a menos que haya un plan, habrá caos".

Más información

El Instituto Brookings ofrece más información sobre la ciberseguridad en la atención de la salud.

Artículo por HealthDay, traducido por HolaDoctor.com

FUENTES: Hannah Neprash, PhD, assistant professor, health policy and management, University of Minnesota School of Public Health, Minneapolis; Lee Kim, JD, senior principal, cybersecurity and privacy, Healthcare Information and Management Systems Society, Chicago; JAMA Health Forum, Dec. 29, 2022, online