Un hospital de USA ha sido devuelto al siglo XX a la escritura a mano y al fax tras el ciberasalto de su base de datos. La historia del hospital hackeado es un ejemplo estupendo de los problemas y riesgos que trae el uso de Internet en medicina. Te cuento la noticia.
Extra! Extra! Hospital hackeado en Los Ángeles!
Varios medios de comunicación en USA como Reuters , theguardian o theatlantic nos cuentan el problemón que se han encontrado en el Hollywood Presbyterian Medical Center, un hospital de Los Angeles, tras el ciberataque que tiene colapsado todo su sistema informático.
El ataque tiene un patrón tristemente frecuente que recibe el nombre de ransomware. Básicamente un virus se hace con el control de los ficheros de un usuario, los encripta y los convierte en inaccesibles para su dueño al que se le hace chantaje para que pague un rescate para recuperar el accceso a los datos. En este caso los administradores del hospital se han encontrado con la exigencia de que deben pagar 9.000 Bitcoins (nada menos que 3.6 millones $) para poder tener de nuevo acceso a su propia base de datos.
De la noche a la mañana el hospital se ha encontrado con que tiene que mantener su actividad pero sin ordenadores. ¡Bienvenidos de vuelta a 1990! Todas las historias clínicas y todos los tratamientos son innacesibles, no se pueden usar las cuenta de correo corporativas, las imágenes de las placas de rayos o del TC no están disponibles, se ha perdido el listado de citaciones, etc, etc, etc. La gerencia del hospital ha prohibido que se enciendan los ordenadores como medida para reducir la propagación del virus y departamentos enteros como Oncología han tenido que cerrar porque no pueden usar su equipo. Asi que de nuevo han tenido que recurrir al papel y al boli para para los registros médicos y desempolvar las máquinas de fax para recuperar las comunicaciones. Toda la gestión de citas se hace a mano y los pacientes tienen que ir a recoger sus resultados en persona. Se me ponen los pelos de punta de pensar en lo que pasaría si en mi hospital nos vieramos en las mismas.
Las explicaciones oficiales del hospital entran en lo previsible. Dicen que el hospital ha sufrido un ataque «aleatorio» y «no malicioso», que «el cuidado de los pacientes no se ha visto comprometido» y que los atacantes «no han tenido acceso a datos personales confidenciales». Aparentemente los profesionales llevan las cosas con resignación aunque se han reencontrado con un viejo problema que ya creían tener olvidado… Lo que peor llevan es que no hay quien entienda la letra de los médicos!
El problema de la seguridad en Medicina
El caso del Presbyterian es un ejemplo perfecto de los problemas que pueden venir con el lado oscuro de Internet en Medicina. La vulnerabilidad ante ataques maliciosos y la necesidad de proteger los datos de los pacientes. En temas relacionados con la tecnología en Medicina vamos en promedio 8 años por detrás de la industria general. Con la seguridad en Internet tenemos el mismo problema. Somos niños pequeños para organizaciones perfectamente preparadas, que operan al otro lado del mundo con total impunidad, en unas condiciones indescifrables para la legalidad internacional y y para las que ni siquiera el famoso FBI tiene respuesta.
El sector sanitario es especialmente vulnerable a los ciberataques. Por una parte almacena gran cantidad de datos personales de todo tipo, muchos de ellos especialmente sensibles (como bien recuerda nuestra Ley de Protección de Datos), de los que no se pueden perder por ningún motivo. Pero, por otra parte, no parece que nadie se haya parado a pensar demasiado en que hace falta gardarlos con mucho cuidado, ya que no hay nada parecido a una regulación o a unos mínimos requisitos de seguridad. Además, las inversiones no suelen hacerse aquí, sino que se van con mas facilidad a los gastos generales del hospital como la compra de nuevos equipos.
De momento el problema no ha hecho más que aparecer. Ya tenemos otros antecedentes, como por ejemplo un hospital de Texas u otro de Florida que estuvieron varios días fuera de juego tras un ataque similar. O la historia de un hospital de Hong Kong que tuvo secuestrados los datos de 10.000 pacientes que afortunadamente pudo recuperar tras un pago simbólico de 0.6 Bitcoins (350$). Pero esto es sólo la clásica punta del iceberg de lo que va a venir.
La historia del Presbyterian es todo un salto cualitativo en la envergadura tanto del ataque como del rescate pedido. Y no está muy claro que la solución sea sencilla. Pagar… cruzar los dedos y rezar a todos los santos para que un especialista consiga arreglar el problema… o crear un nuevo sistema de datos y partir de cero. Ya lo dice nuestro sabio refranero. Cuando las barbas de tu vecino veas pelar…
Actualización (21 febrero 2016)
La página Healthcare IT news informa que la pesadilla para el Hospital Holywood Presbyterian Medical Center ha terminado después de haber pagado aproximadamente 17.000$ a los secuestradores que tenían bloqueado su sistema informático.
Para la gerencia del hospital «la forma más rápida y eficiente de recuperar nuestros sistemas y funciones era pagar por la clave de desencriptado» «era la mejor forma de recuperar nuestro funcionamiento normal».
Lo dicho. Todo un aviso para navegantes….
Deja un comentario