El peligro tras los ciberataques a los hospitales europeos: pueden suponer un problema para la salud. Istock
La seguridad del paciente en peligro ante los ciberataques en los hospitales: este es el efecto de un software "obsoleto"
Cirugías canceladas, medicaciones retrasadas o historiales inaccesibles… el sistema sanitario enfrenta "una crisis de salud pública".
Más información: Tu expediente sanitario, a 900 € en la 'dark web' y hospitales colapsados: así operan los ladrones de datos médicos
Los ciberataques a los hospitales europeos parecen haberse convertido en la nueva moda. Los casos no dejan de crecer. Ya en 2017 se paralizó el sistema de atención sanitaria pública de Reino Unido, teniendo que cancelar 19.000 citas médicas. En 2020, el hospital universitario de Düsseldorf (Alemania) reportó el primer caso de una muerte potencialmente relacionada con un ataque informático.
En aquella ocasión, el hackeo de la interfaz obligó a que una paciente fuera trasladada a otro centro, pero no pudo soportar el desplazamiento y falleció en el trayecto. Este hecho es un problema en sí mismo, pero lo realmente preocupante es que no hablamos de casos aislados o extremos.
Las amenazas cibernéticas han irrumpido con fuerza, pasando a formar parte de la nueva realidad que integra nuestra actualidad: los hospitales operan con sistemas degradados durante semanas, los profesionales vuelven al papel y los diagnósticos llegan con retraso.
Así, poco a poco, se está socavando la confianza en el sistema sanitario. Y, como señala Alfredo Schoch, director de producto de Alan, aseguradora sanitaria, "la seguridad del paciente se erosiona silenciosamente cada día que la red no funciona al 100%".
Y es que un ciberataque no es solo un problema técnico, sino una emergencia médica. O, por lo menos, así lo defiende Schoch: "Cuando los sistemas fallan, los pacientes enfrentan riesgos vitales inmediatos: cirugías canceladas, medicaciones retrasadas, historiales inaccesibles…".
El impacto, además, se extiende en el tiempo, porque, como subraya el portavoz de Alan, se produce una "pérdida de confianza". Es decir, el paciente no se fía de la seguridad de sus datos y "puede retrasar consultas críticas, ocultar información vital o buscar alternativas menos seguras".
Una representación gráfica de un ciberataque en un ordenador. Europa Press
Incluso, insiste, han llegado a ver casos donde "el miedo a la exposición de información sensible lleva a decisiones que comprometen directamente la salud". "Los usuarios desarrollan comportamientos de evitación: retrasan consultas, ocultan información o buscan alternativas fuera del sistema oficial", explica.
Y esto, además, resulta en un círculo vicioso. Pues al haber menos confianza, hay una peor comunicación médico-paciente, lo que se traduce en diagnósticos menos precisos y tratamientos de una efectividad más baja.
Los ciberataques
El experto en ciberseguridad Miguel López, director para el sur de Europa en Barracuda Networks, identifica en el robo de datos y el ransomware las principales amenazas a las que deben hacer frente los hospitales europeos.
"Los ciberdelincuentes buscan acceder a información sensible de pacientes para venderla en el mercado negro o extorsionar a las instituciones. Además, pueden paralizar los sistemas hospitalarios, exigiendo un rescate para restaurar el acceso", explica López.
El problema es que el ataque sobre estas infraestructuras es "uno de los que más probabilidades tiene de causar pérdida de vidas directa". Y, al mismo tiempo, continúa el portavoz de Barracuda Networks, "puede constituirse en un objetivo estratégico para ataques específicos de guerra híbrida y/o ciberterrorismo".
![Imagen de archivo de un hacker encapuchado.](["https:\/\/s3.elespanol.com\/2023\/05\/11\/alicante\/762934481_233087067_320x180.jpg"])
En ese sentido, los hospitales "son especialmente vulnerables debido a la gran cantidad de dispositivos conectados y la necesidad de acceso rápido a la información". O, por lo menos, así lo asegura López.
"Utilizan un software obsoleto y carecen de medidas de seguridad adecuadas", indica. A lo que debemos sumar una "falta de formación en ciberseguridad entre el personal", además de la necesidad de acceso inmediato a la información en caso de emergencias. Y, así, dice el experto, se forma "el caldo de cultivo perfecto para el desarrollo de ciberataques".
Aunque si algo tiene claro López es que esto es resultado de "la rápida adopción de tecnologías digitales sin una planificación adecuada en ciberseguridad". Pues afirma que "los hospitales han priorizado la implementación de sistemas electrónicos de salud para mejorar la eficiencia, pero no han invertido proporcionalmente en la protección de estos".
Cómo evitarlo
"La respuesta tradicional —menciona Schoch— es más seguridad, pero eso es un error. La verdadera solución es que esta sea mejor. Una que se integre naturalmente en el flujo del trabajo, que sea invisible para el usuario, pero impenetrable para el atacante".
E, insiste el director de producto de Alan, "el futuro no está en elegir entre innovación y seguridad, sino en hacer que la seguridad habilite la innovación".
Y es que, pese a que la mayoría de hospitales cuentan con protocolos de contingencia, son inadecuados para la realidad actual. "Volver al papel funciona para emergencias puntuales, no para interrupciones prolongadas en sistemas altamente digitalizadas", sentencia Schoch.
En los últimos años, los hospitales europeos han sufrido un aumento de ciberataques. Istock
Para él, el principal problema es que "hemos creado una dependencia digital sin construir la resiliencia correspondiente". Y pone un ejemplo: "Es como diseñar un edificio de 50 pisos con escaleras de emergencia para cinco de ellos".
Por ese motivo, reitera, la solución no pasa por volver a más protocolos analógicos, sino por crear arquitecturas digitales verdaderamente resilientes: sistemas distribuidos, redundancias inteligentes y recuperación automática.
Y es precisamente ahí donde aparece la importancia de las acciones de la Unión Europea y los gobiernos nacionales. Porque, tal y como menciona López, "aunque existen normativas, es necesario actualizarlas y reforzarlas para abordar las amenazas emergentes".
![Una representación gráfica de un ciberataque en un ordenador.](["https:\/\/s3.elespanol.com\/2022\/03\/10\/invertia\/observatorios\/digital\/656195107_222578477_320x180.jpg"])
Al mismo tiempo, indica, su labor debe centrarse en "proporcionar recursos y formación para que los hospitales puedan implementar medidas de seguridad efectivas". Pero también, dice, deben estar presentes en las partidas presupuestarias para "aumentar los recursos humanos dedicados a la ciberseguridad en el ámbito sanitario".
De lo contrario, el experto en ciberseguridad garantiza que "será imposible afrontar el desafío que supone hacer frente a ciberataques que aumenten de manera constante su número y efectividad".
Buenas prácticas
Y aunque el panorama se muestra algo sombrío, no todo es negativo. Actualmente, se están implementando tecnologías de protección que ya están funcionando en hospitales europeos y que podrían servir de referencia.
En ese sentido, López destaca la implementación de accesos remotos basados en la tecnología Zero Trust, sistemas de autenticación multifactor, protección de aplicaciones web (WAF) y APIs, protección correo y la navegación web, soluciones de gestión y respuesta ante incidentes, así como la formación continua de personal en ciberseguridad.
Además, continúa el experto, también han mostrado ser efectivos los sistemas de detección y respuesta ante amenazas (EDR/XDR) y las soluciones de copia de seguridad y recuperación orientadas a la protección frente al ransomware.
![Hospital Clinic de Barcelona](["https:\/\/s3.elespanol.com\/2022\/05\/31\/ciencia\/salud\/676692406_224719330_320x180.jpg"])
En cualquier caso, de lo que no hay lugar a dudas es que es necesario actuar y preparar los sistemas sanitarios para la nueva realidad a la que se están enfrentando. Porque, de no hacerlo, Schoch asegura que el coste humano y operativo será "devastador".
"Los profesionales sanitarios enfrentan un estrés extremo. Deben tomar decisiones críticas sin acceso a historiales, comunicarse por métodos primitivos o trabajar el doble de horas para compensar la ineficiencia", asegura el portavoz de Alan.
Pero el coste más alto, apunta el experto, es "la frustración profesional". Pues "los médicos y enfermeras que han invertido años en dominar sistemas digitales se ven forzados a volver a métodos que consideran obsoletos y peligrosos".
Motivo por el que asegura que "los ciberataques hospitalarios no son solo un problema de IT, sino una crisis de salud pública que requiere repensar completamente cómo diseñamos y protegemos nuestros sistemas sanitarios". Porque, concluye, "la seguridad del siglo XXI debe ser invisible, integral e inquebrantable".
