Dameff C, Tully
J, Chan TC, et al. Ransomware attack associated with disruptions at adjacent
emergency departments in the US. JAMA
Netw Open. 2023;6(5):e2312270.
Los ciberataques a organizaciones
sanitarias se han tratado, durante años, como incidentes técnicos. Incómodos,
pero gestionables desde los servicios de informática y con efectos transitorios
sobre la actividad asistencial.
El estudio de Dameff
et al., recomienda abandonar esa perspectiva complaciente. Su principal
aportación no es mostrar como un ataque ransomware interrumpe
la actividad del centro atacado, algo que sabíamos, sino mostrar (con evidencia
empírica) sus efectos más allá del perímetro de la organización afectada. Como
alcanza a los centros vecinos, alterando la atención en todo el territorio circundante.
Externalidades
negativas de los ciberataques
El trabajo analiza un
ataque ransomware prolongado que dejó inoperativo durante
semanas a un hospital estadounidense. Aprovechando esta “interrupción natural”,
los autores analizan la actividad de dos servicios de urgencias cercanos no
atacados, antes, durante y después del incidente.
Dichos servicios aumentaron su
volumen de pacientes, las llegadas en ambulancia, los tiempos de espera, la
estancia total en urgencias y el número de pacientes que abandonaron el centro
sin ser atendidos. Indicadores sensibles, como los relacionados con la atención
al ictus, también se deterioraron durante el periodo del ataque al centro
directamente afectado.
El estudio muestra que el
ataque no produjo un simple problema de redistribución logística de pacientes
en un entorno, sino una pérdida real de capacidad asistencial efectiva en el
conjunto del territorio.
Estos resultados introducen una
idea poco integrada en la gestión sanitaria: los ciberataques generan
externalidades territoriales negativas. La vulnerabilidad no es solo
del centro que ve bloqueados sus servidores, sino del conjunto del sistema que
comparte flujos de pacientes y recursos críticos, una idea que ya se
apuntaba tras el ataque
WannaCry al NHS británico.
Evidencia acumulada,
impacto infravalorado y crisis de capacidad
Algunos estudios indican que
los ataques
ransomware a organizaciones sanitarias son cada vez más frecuentes,
afectan a entidades de mayor tamaño y se asocian con cancelaciones, retrasos y
desvíos de ambulancias, aunque la mayor parte de esta evidencia se apoya en
fuentes administrativas (de notificación a las agencias de ciberseguridad), con
limitada información sobre duración, gravedad clínica o impacto real en los
pacientes.
Mientras sabemos que los
ataques crecen en número y sofisticación, seguimos infraestimando sus
consecuencias asistenciales, especialmente cuando estas se manifiestan fuera
del foco
mediático o en atención
primaria.
El trabajo de Dameff et al.,
invita a repensar el marco conceptual desde el que se abordaban estos ataques.
Si pueden empeorar los tiempos de atención en urgencias o retrasar el manejo
del ictus en hospitales no afectados directamente, resulta difícil seguir
pensando que son sólo un incidente tecnológico. Se parecen mucho más a
una crisis
sanitaria (de origen digital) con mecanismos de propagación comparables a los
de una crisis de capacidad clásica.
De la ciberseguridad
a la resiliencia frente a los ataques
El interés de este enfoque hacia
la externalidades negativas conecta con episodios recientes que han puesto de
relieve la fragilidad sistémica de las infraestructuras digitales. Ataques
dirigidos a intermediarios críticos del sistema sanitario, como plataformas de
procesamiento de pagos o servicios centrales de información, han
paralizado amplias zonas del sistema sin tocar directamente a los proveedores
de atención.
La dependencia creciente de
infraestructuras digitales compartidas ha creado un ecosistema eficiente, pero
frágil, donde la caída de un nodo relevante puede desencadenar efectos en
cascada difíciles de contener. El problema ya no es solo técnico, sino de
gobernanza del riesgo sistémico.
Aunque buena parte de la
evidencia publicada procede de Estados Unidos o del Reino Unido, el problema no
es ajeno al contexto español. El ataque
ransomware sufrido por el Hospital Clínic de Barcelona en 2023 obligó
a suspender actividad programada, limitar la atención urgente y reorganizar
recursos durante semanas. No ha sido el único en nuestro país. Nuestro
notable desarrollo en historias clínicas electrónicas únicas, plataformas
regionales de laboratorio, prescripción y dispensación electrónica o servicios
centralizados de imagen, han mejorado la integración y la eficiencia, pero
también han aumentado la exposición a fallos a gran escala.
Los ciberataques sanitarios no
interrumpen únicamente servidores: redistribuyen pacientes, degradan la
atención urgente y erosionan la capacidad asistencial del conjunto del sistema.
Y la pregunta no es si ocurrirán, sino si los sistemas sanitarios están
dispuestos a reconocerlos, prevenirlos y, en su caso, gestionarlos como una
amenaza emergente para la seguridad clínica individual y colectiva.
Lo que enseña el estudio de Dameff
et al., es que pensar que cada organización puede
protegerse de forma aislada es una ilusión. Los planes de contingencia deben
diseñarse y evaluarse agregando el nivel territorial e incorporando en los
planes de emergencia escenarios en que el ciberataque se produce en hospitales
o centros cercanos.
Sobre el autor
Médico especialista en medicina
familiar y comunitaria y máster en salud pública por la Universidad Miguel
Hernández. Subdirector general del IVASS (Instituto Valenciano de Servicios
Sociales de la Generalitat Valenciana). Ha sido gerente del Servicio Cántabro
de Salud, director general de asistencia sanitaria en la Comunidad Valenciana y
miembro del Gabinete de la Ministra de Sanidad, Consumo y Servicios Sociales.
No hay comentarios.:
Publicar un comentario