Simon Meier, cirujano traumatólogo y ortopédico, se encontraba fuera de servicio cuando un colega lo llamó una noche. El Hospital Universitario de Fráncfort fue objeto de un ciberataque masivo que requería una respuesta urgente.
A la mañana siguiente, Meier, quien también era el planificador de emergencias del hospital, participó en una reunión de crisis con la dirección del hospital. Los equipos de TI habían trabajado toda la noche sin éxito, y ahora se avecinaba una decisión crucial.
“Tuvimos que desconectar toda la red del hospital de internet”, recordó Meier. “No queríamos darle más oportunidad a nadie de manipular los sistemas informáticos”.
Se cortó el acceso a Internet, se congelaron las bases de datos y el personal del hospital tuvo que recurrir al lápiz y el papel, así como a las llamadas telefónicas, para prestar atención.
“Afectó gravemente la comunicación entre nuestros sistemas electrónicos”, dijo Meier. Acceder a los resultados de laboratorio o a los datos de las máquinas de rayos X móviles se convirtió en un problema, ya que los sistemas no podían informar a la base de datos del hospital.
“Tuvimos que reprogramar citas solo para poder revisar los archivos de los pacientes y posponer algunas cirugías planificadas”, dijo.
Ahora, más de un año y medio después, el sistema aún no ha vuelto a la normalidad, afirmó Meier. El acceso a internet y a las bases de datos sigue restringido, y se está llevando a cabo una costosa reconstrucción de la infraestructura para solucionar vulnerabilidades explotadas desde hace tiempo.
Este ataque es solo uno de los 309 incidentes de ciberseguridad que afectaron al sector sanitario en la UE solo en 2023, más que cualquier otro sector crítico. El coste de un incidente grave suele rondar los 300.000 €.
Más allá del impacto financiero, los ciberataques representan una amenaza para la vida de los pacientes. Lo que está en juego quedó claro en un caso reciente en el Reino Unido, donde la muerte de un paciente se relacionó, entre otros factores, con un resultado tardío de un análisis de sangre causado por un ciberataque que interrumpió los servicios de patología el verano pasado.
El director de la Organización Mundial de la Salud (OMS), Tedros Adhanom Ghebreyesus, calificó los ciberataques a la atención médica como “cuestiones de vida o muerte”.
Si bien la atención médica se ha convertido en el principal objetivo de los cibercriminales en los últimos años, poniendo vidas en riesgo, el sector paradójicamente invierte menos en ciberseguridad que cualquier otra industria, dejando datos de alto valor vulnerables a ataques.
Objetivo perfecto
Para los ciberdelincuentes, el robo de datos de salud es un plan de negocios ideal, afirmó Christos Xenakis, profesor del departamento de sistemas digitales de la Universidad de El Pireo (Grecia). “Es fácil robar datos, y lo que se roba se puede vender a un alto precio”.
Los ataques de ransomware —en los que los hackers bloquean datos y exigen un rescate— dominan el sector, según un informe de la Agencia Europea de Ciberseguridad (ENISA) . «Logran dos objetivos: uno es obtener los datos y venderlos, y el otro es cifrar todo el sistema, interrumpirlo por completo y pedir dinero», declaró Xenakis.
Los datos robados pueden venderse en la red oscura a delincuentes que los utilizan para cometer robo de identidad, fraude de seguros o chantaje. Para restaurar los sistemas interrumpidos, los delincuentes pueden exigir millones de euros; por ejemplo, los hackers exigieron 4,5 millones de dólares por la devolución de los datos robados tras un ciberataque al Hospital Clínic de Barcelona. El hospital se negó a pagar.
Sin embargo, otros tipos de ciberataques también están en aumento, incluidos los llevados a cabo por hacktivistas prorrusos que buscan perturbar las operaciones de atención sanitaria, en lugar de buscar ganancias.
A pesar de los riesgos, solo el 27 por ciento de las organizaciones de atención médica tienen un programa de defensa contra ransomware específico, y el 40 por ciento no ofrece ningún tipo de capacitación sobre concientización sobre seguridad para el personal no informático, según un informe separado de ENISA .
Creando una cultura de ciberseguridad
Xenakis cree que el sector sanitario considera la ciberseguridad como algo ajeno a su competencia y un lujo, no algo esencial. El personal sanitario desconoce los riesgos, según él, lo que resulta en una mala higiene cibernética.
Recuerda haber quedado solo en la consulta de un médico con computadoras sin protección, un blanco fácil para los hackers. “Si hubiera querido hacer algo, me habría resultado fácil”, dijo.
Al mismo tiempo, duda que lo hubieran dejado en una habitación con medicamentos críticos. Los hospitales comprenden los riesgos si los medicamentos caen en las manos equivocadas, dijo, «pero no comprenden la ciberseguridad».
La tarea consiste en crear una cultura de buenas prácticas de ciberseguridad para proteger los datos y los sistemas, afirmó Xenakis. «La educación sobre la tecnología es… extremadamente baja».
Los hallazgos del Fondo Finlandés de Innovación Sitra respaldan esta afirmación. Si bien muchas organizaciones sanitarias cuentan ciberseguridad, a menudo su personal no las comunica con claridad ni las comprende de forma coherente. La alta rotación de personal, tanto del personal médico como de los responsables de ciberseguridad, agrava aún más las deficiencias en la capacitación y la capacidad para aplicar ciberseguridad.
Sabina Magalini, exprofesora de cirugía de la Universidad Católica del Sagrado Corazón de Roma, quien coordinó el proyecto PANACEA, financiado por la UE , para mejorar la ciberseguridad hospitalaria, cree que la legislación actual ignora los desafíos específicos de los hospitales. «Los hospitales tienen diferentes problemas», afirmó, mencionando la alta rotación de personal, la falta de formación y el exceso de trabajo.
“El hospital no es una central nuclear… Es como un puerto… con un puerto: gente entrando, saliendo, y todo está abierto”, dijo Magalini.
Argumentó que los hospitales necesitan simulacros continuos de ciberseguridad y sistemas optimizados que no ralenticen la atención. El personal sanitario “no quiere pasar la mitad del día iniciando y cerrando sesión”, afirmó.
La culpa es del sistema, no del personal
Sin embargo, la capacitación del personal hospitalario, si bien es beneficiosa, es insuficiente para abordar las amenazas a la seguridad.
“Si tienes un hospital con 2000 empleados, la probabilidad de que alguien haga clic en el botón (de un enlace de phishing) es inevitable”, afirmó Xenakis. Sobre todo porque los ciberdelincuentes utilizan cada vez más la inteligencia artificial para automatizar ataques, como el phishing y el fraude basado en deepfakes , lo que hace que estos ataques sean “muy sofisticados y muy específicos”, añadió.
“No se puede culpar a la gente”, dijo Xenakis. Debe haber herramientas de detección inteligentes “para eliminar el daño… o contrarrestar el ataque”, añadió.
Magalini también señaló otra deficiencia: las consultorías de ciberseguridad que asisten a los hospitales suelen provenir de fuera de Europa. “Son de Estados Unidos o Canadá… y también de Rusia”, afirmó, y añadió que debería existir una “forma europea de abordar la ciberseguridad”.
Brechas de inversión
Si bien los riesgos son claros, los gobiernos nacionales están escatimando en prevención, cree Xenakis, y dice que no tiene un buen ejemplo de un país “que haya invertido mucho en ciberseguridad en el sector de la salud”.
En Alemania, por ejemplo, “están acostumbrados a simplemente implementar nuevas regulaciones, pero no invierten nada en la ciberseguridad de los hospitales”, dijo Meier.
Cree que su hospital de Fráncfort habría detectado el ataque antes si hubiera contado con un sistema de detección de intrusos. Tuvieron mucha suerte de descubrir el ataque antes de que destruyera toda la base de datos, dijo Meier. “Podría haber provocado el cierre total del hospital”.
“Las amenazas a la ciberseguridad plantean enormes desafíos para el sector sanitario, poniendo en peligro la disponibilidad de servicios sanitarios esenciales”, declaró un portavoz del Ministerio de Salud alemán a POLITICO en una respuesta escrita. Alemania respalda los estándares de ciberseguridad específicos del sector y exige a los hospitales que inviertan al menos el 15 % de la financiación en ciberseguridad recibida a través de un programa de preparación de hospitales para el futuro, en el marco de su plan de recuperación y resiliencia .
El comisario europeo de Salud, Olivér Várhelyi, también ha dejado claro que la inversión debe provenir de los gobiernos nacionales. «Si vas a un hospital, siempre ves un guardia en la puerta. Hay dinero para eso, así que también debería haber dinero para proteger los datos», declaró en enero.
Pero dado que el sector salud a menudo sufre de falta de inversión, cuánto pueden gastar los gobiernos en ciberseguridad es una incógnita, dijo Magalini. “Hay tantos otros problemas (de salud) que no son de ciberseguridad… así que no sé cómo pueden realizar las inversiones”.
El coste de la inacción puede ascender a cientos de millones de euros, como ocurrió con el ataque al Servicio Ejecutivo de Salud de Irlanda en mayo de 2021, que paralizó los sistemas informáticos del sistema sanitario público del país. El coste del ataque se estimó en al menos 101 millones de euros, con otros 657 millones destinados a la protección contra futuros ataques.
“¿Por qué costó tanto? No por los daños, sino porque alguien inteligente pensó: ‘No, tenemos que reconstruir el sistema de forma segura'”, dijo Magalini.
Ray Walley, médico general de Irlanda, presenció de primera mano cómo el ataque cortó los vínculos con el sistema hospitalario. “No podíamos derivar pacientes. Afectó la salida de pacientes del sistema hospitalario. No recibíamos los resultados de los análisis de sangre. No recibíamos los resultados de las radiografías ni las tomografías”, dijo.
Walley cree que «la ciberseguridad es solo otra forma de atención médica». «Necesitamos invertir en esto», dijo. «Necesitamos ser proactivos. Necesitamos invertir el dinero».
La acción de la UE: buena, pero podría ser mejor
El creciente número de ciberataques a los sistemas sanitarios provocó una respuesta de la UE este año. La Comisión Europea presentó en enero un plan de acción sobre ciberseguridad para hospitales y el sector sanitario.
El plan propone la creación de un Centro Europeo de Apoyo a la Ciberseguridad para el sector sanitario dentro de ENISA y un servicio específico de respuesta rápida. El plan también introduce «cupones de ciberseguridad», que permitirán a los países de la UE proporcionar apoyo financiero a los pequeños proveedores de servicios sanitarios para mejorar su ciberresiliencia.
“Está bien”, dijo Markus Kalliola, director de programación de Sitra. Pero “podría ser más fuerte”.
Es uno de los autores del informe de evaluación de la Comisión elaborado por Sitra, que señala una gobernanza turbia de la UE, una falta de objetivos o presupuestos claros y una oportunidad perdida para construir un mercado único funcional para las soluciones de ciberseguridad.
Sitra pide ir más allá del plan de la UE y considerar la ciberseguridad como una cuestión de seguridad nacional; establecer una preparación obligatoria en ciberseguridad para las organizaciones de atención sanitaria; incorporar habilidades en ciberseguridad en la formación básica de los profesionales sanitarios; y organizar más ejercicios paneuropeos de ciberseguridad.
Con la cambiante situación geopolítica, “también es una cuestión de seguridad nacional”, afirmó Kalliola. “Los Estados miembros de la UE deberían centrarse en… cuál es la estrategia nacional para asegurar estos servicios sanitarios críticos”, añadió.
Queda por ver si la seguridad de Europa figurará o no en el plan final de ciberseguridad hospitalaria de la Comisión; el ejecutivo de la UE acaba de concluir una consulta y prometió presentar un plan refinado para finales de año.
Otras piezas legislativas de la UE —incluida la Directiva NIS2, la Ley de Ciberresiliencia, la Ley de IA y las normas sobre dispositivos médicos— también elevan el nivel de la ciberseguridad en distintos sectores, incluida la atención sanitaria.
Sin embargo, «a pesar de los avances en las iniciativas regulatorias y las soluciones técnicas, la implementación sigue siendo inconsistente. No hay tiempo que perder para convertir las regulaciones en realidad», afirmó Kalliola .