En más de una docena de estados, médicos y enfermeras han dependido de órdenes de tratamiento escritas a mano y en papel para catalogar y rastrear las enfermedades de los pacientes, sin poder acceder a historiales médicos detallados que durante mucho tiempo han estado disponibles sólo a través de registros computarizados.
Los pacientes han esperado largos períodos en las salas de emergencia y sus tratamientos se han retrasado mientras los resultados de laboratorio y las lecturas de dispositivos como las resonancias magnéticas se envían mediante esfuerzos improvisados, que carecen de la velocidad de las descargas electrónicas.
Durante más de dos semanas, miles de trabajadores médicos han recurrido a métodos manuales después de un ciberataque a Ascension, uno de los sistemas de salud más grandes del país con alrededor de 140 hospitales en 19 estados y el Distrito de Columbia.
El ataque a gran escala del 8 de mayo recuerda al ataque a Change Healthcare, una unidad de UnitedHealth Group que administra el sistema de pago de atención médica más grande del país. El ataque interrumpió los canales de pago y facturación digital de Change, dejando a hospitales, médicos y farmacéuticos sin forma de comunicarse con las aseguradoras de salud durante semanas. Los pacientes no podían surtir sus recetas y los proveedores no podían recibir pago por la atención.
Si bien algunos ciberataques anteriores afectaron a un solo hospital o redes médicas más pequeñas, la interrupción de Change, que administra un tercio de todos los registros de pacientes de EE. UU., destacó los peligros de la consolidación cuando una entidad se vuelve tan crítica para el sistema de salud del país.
Los sistemas Ascent siguen sin estar disponibles indefinidamente, pero los médicos y enfermeras están trabajando para encontrar formas de acceder a cierta información sobre los historiales médicos de los pacientes consultando los registros médicos mantenidos por otros proveedores. Ascension también les dice a los médicos y enfermeras que pronto podrán ver los registros digitales existentes.
“Es una gran perturbación para todos los involucrados”, dijo Kristine Kittelson, enfermera del Centro Médico Ascension Seton en Austin, Texas, miembro del sindicato Nacional de Enfermeras Unidas.
El ataque de Ascension tuvo un impacto tan amplio como el de Change, y algunos hospitales en Indiana, Michigan y otros lugares desviaron ambulancias. Ascension Hospitals atiende aproximadamente tres millones de visitas al departamento de emergencias anualmente y realiza casi 600,000 procedimientos quirúrgicos.
Al igual que Change, Ascension fue objeto de un ataque de ransomware y el grupo hospitalario dice que está trabajando con las autoridades federales. El ataque parece ser obra de un grupo conocido como Black Basta, que podría estar vinculado a ciberdelincuentes de habla rusa, según informes de los medios.
Existe la preocupación de que los piratas informáticos puedan filtrar información médica privada, y los pacientes ya han comenzado a presentar demandas federales contra Ascension, diciendo que no estaba haciendo lo suficiente para proteger sus datos.
Las grandes organizaciones de atención médica se han convertido cada vez más en el objetivo principal de los ciberdelincuentes, decididos a causar el mayor daño posible a una parte vital de la infraestructura de Estados Unidos. “Esto es algo que va a suceder una y otra vez”, dijo Steve Cagle, director ejecutivo de Clearwater, una empresa de cumplimiento de la atención médica.
Con una vasta red de hospitales y clínicas, las grandes organizaciones aún no saben dónde son vulnerables ni cómo minimizar las interrupciones en caso de un ataque grave. La industria “nunca anticipó esto”, afirmó Cagle.
Mientras Ascension continúa tratando a los pacientes, los peligros de perder partes de la historia de un paciente son palpables. En entrevistas, los médicos y enfermeras destacaron las amenazas a la atención al paciente: es posible que las personas no recuerden qué medicamentos están tomando; Se podrán omitir visitas anteriores así como resultados de procedimientos o pruebas anteriores.
En Austin, Kittelson dijo que tuvo que examinar docenas de hojas de papel para encontrar qué medicamentos podría haberle recetado un médico o encontrar información sobre la condición del paciente. “Me preocupa el registro”, dijo, señalando que había documentado minuciosamente manualmente la condición y el tratamiento de un paciente.
Y muchas de las garantías habituales no están disponibles. Las enfermeras no podían escanear un medicamento o el brazalete de un paciente para asegurarse de que el paciente correcto recibiera el medicamento correcto, lo que aumentaba las posibilidades de errores de medicación. Y están cada vez más inseguros de si los médicos han recibido actualizaciones importantes sobre la condición del paciente.
“Nuestro gran problema es que el ciberataque ha paralizado a las enfermeras”, dijo Lisa Watson, enfermera sindicalizada en un hospital de Ascension en Wichita, Kansas. Observó que la carga de trabajo había aumentado considerablemente.
“Es mucho más que los viejos mapas de papel”, dijo Watson. Las enfermeras tenían que escribir recetas y otros tratamientos en formularios separados para diferentes departamentos. En lugar de recibir alertas inmediatas en una computadora, es posible que una enfermera no vea un nuevo resultado de laboratorio durante horas.
El martes, Ascension dijo que estaba “progresando tanto en la restauración de las operaciones como en la reconexión de nuestros socios a la red”, y algunas enfermeras dicen que pronto tendrán acceso limitado a registros anteriores. Pero Ascension no ofreció un cronograma para restaurar el acceso digital completo, y solo dijo en un comunicado enviado por correo electrónico el martes por la noche que “llevará tiempo volver a las operaciones normales”.
Pocos proveedores estaban dispuestos a discutir públicamente el alcance de los daños causados por los ataques de ransomware en muchos estados y departamentos médicos. Los daños aún no se han evaluado completamente y Ascension tiene la intención de mantener abiertas la mayor cantidad posible de sus operaciones.
Las enfermeras sindicales dicen que el ciberataque ha empeorado la escasez de personal. Este asunto ha empañado las relaciones laborales con Ascension, aunque la empresa lo ha negado. Las enfermeras de Wichita recientemente chocaron con la dirección del hospital por si había muy pocas enfermeras en la unidad de cuidados intensivos.
“A pesar de los desafíos planteados por el reciente ataque de ransomware, la seguridad del paciente sigue siendo nuestra principal prioridad”, dijo Ascension en un comunicado enviado por correo electrónico. “Nuestros dedicados médicos, enfermeras y equipos de atención están demostrando una atención y una resiliencia increíbles mientras confiamos en sistemas manuales y en papel durante la interrupción continua de los sistemas normales. »
“Nuestros equipos de atención están familiarizados con situaciones dinámicas y están debidamente capacitados para mantener una atención de alta calidad durante el tiempo de inactividad”, añade. “Nuestros líderes, médicos, equipos de atención y asociados están trabajando para garantizar que la atención al paciente continúe con una interrupción mínima o nula.
Ascension dijo que informará a los pacientes si es posible que sea necesario reprogramar una cita o procedimiento. La organización aún no ha determinado si los datos confidenciales de los pacientes se vieron comprometidos y remite al público a su sitio web para obtener actualizaciones.
Los riesgos de los ciberataques para la atención al paciente están bien documentados. Los estudios han demostrado que la mortalidad hospitalaria aumenta después de un ataque, y los efectos se pueden sentir incluso en los hospitales vecinos, lo que reduce la calidad de la atención en los hospitales que se ven obligados a acoger a más pacientes.
Otra preocupación es si la información confidencial del paciente se vio comprometida y quién debe ser considerado responsable. Tras las consecuencias del ataque de Change, los médicos están presionando a los funcionarios de salud del gobierno de EE. UU. para que aclaren que Change tiene la responsabilidad de alertar a los pacientes. Según una carta de la Asociación Médica Estadounidense y otros grupos de médicos a principios de esta semana, los médicos instaron a los funcionarios a “declarar públicamente que su investigación sobre la infracción y los esfuerzos de remediación inmediata se centrarán en Change Healthcare, y no en los proveedores afectados por Change”. Incumplimiento de la asistencia sanitaria. » »
Estos tipos de ataques de ransomware se han vuelto cada vez más comunes a medida que los ciberdelincuentes, a menudo respaldados por delincuentes con vínculos con estados extranjeros como Rusia o China, han determinado hasta qué punto atacar a grandes organizaciones de atención médica puede ser lucrativo y disruptivo. El director ejecutivo de UnitedHealth, Andrew Witty, dijo recientemente al Congreso que la empresa pagó 22 millones de dólares en rescate a los ciberdelincuentes.
El ataque de Change atrajo mucha más atención del gobierno al problema. La Casa Blanca y las agencias federales han celebrado varias reuniones con funcionarios de la industria y el Congreso pidió a Witty que compareciera a principios de este mes para discutir el hack en detalle. Muchos legisladores han señalado el tamaño cada vez mayor de las organizaciones de atención médica como una de las razones por las que brindar atención médica a millones de estadounidenses se ha vuelto cada vez más vulnerable.
Los expertos en ciberseguridad dicen que los hospitales no tienen más remedio que cerrar sus sistemas si un pirata informático logra entrar. Debido a que los delincuentes se infiltran en todo el sistema informático, “los hospitales no tienen más remedio que recurrir al papel”, afirmó Errol Weiss, jefe de seguridad del Centro de Análisis e Intercambio de Información Sanitaria, al que describió como una vigilancia virtual del sector.
Dice que no sería realista esperar que un hospital tuviera sistemas redundantes en caso de un ataque de ransomware o malware. “Simplemente no es posible ni alcanzable en este entorno económico”, afirmó Weiss.