En más de una docena de estados, médicos y enfermeras han recurrido a órdenes de tratamiento escritas a mano en papel para rastrear las enfermedades de los pacientes y monitorearlas, sin poder acceder a los historiales médicos detallados que durante mucho tiempo han estado disponibles sólo a través de registros computarizados.
Los pacientes han esperado largos períodos en las salas de emergencia y sus tratamientos se han retrasado a medida que los resultados de laboratorio y las lecturas de máquinas como las resonancias magnéticas se transmiten a través de esfuerzos improvisados que carecen de la velocidad de las cargas electrónicas.
Durante más de dos semanas, miles de personal médico han cambiado a métodos manuales después de un ciberataque a Ascension, uno de los sistemas de salud más grandes del país con alrededor de 140 hospitales en 19 estados y el Distrito de Columbia.
El ataque a gran escala del 8 de mayo recordó inquietantemente el ataque a Change Healthcare, una unidad del grupo UnitedHealth que opera el sistema de pago de atención médica más grande del país. El asalto bloqueó las vías de pago y facturación digital de Change, dejando a hospitales, médicos y farmacéuticos sin la capacidad de comunicarse con las aseguradoras de salud durante semanas. Los pacientes no podían surtir recetas y a los proveedores no se les podía pagar por la atención.
Si bien algunos ciberataques anteriores se han dirigido a un solo hospital o a redes médicas más pequeñas, el colapso de Change, que gestiona un tercio de todos los registros médicos de Estados Unidos, puso de relieve los peligros de la consolidación cuando una entidad se vuelve tan esencial para el sistema nacional de salud.
Los sistemas de Ascension permanecen inactivos indefinidamente, pero los médicos y enfermeras están trabajando para encontrar formas de obtener acceso a cierta información sobre el historial médico de los pacientes examinando los registros médicos mantenidos por otros proveedores. Ascension también les dice a los médicos y enfermeras que pronto podrán ver los registros digitales existentes.
«Es un gran inconveniente para todos los involucrados», dijo Kristine Kittelson, enfermera del Centro Médico Ascension Seton en Austin, Texas, miembro del sindicato Nacional de Enfermeras Unidas.
El ataque de Ascensión tuvo un impacto tan amplio como el ataque de Cambio, y algunos hospitales en Indiana, Michigan y otros lugares desviaron ambulancias. Los hospitales de Ascension atienden aproximadamente tres millones de visitas a la sala de emergencias por año y realizan casi 600,000 cirugías.
Al igual que Change, Ascension también fue objetivo de un ataque de ransomware y el grupo hospitalario dice que está cooperando con las autoridades federales. Según los informes, el ataque es obra de un grupo conocido como Black Basta, que puede estar vinculado a ciberdelincuentes de habla rusa.
Se teme que los piratas informáticos puedan filtrar información médica privada y los pacientes ya han comenzado a presentar demandas federales contra Ascension alegando que no hizo lo suficiente para salvaguardar sus datos.
Las grandes organizaciones sanitarias se han convertido cada vez más en el principal objetivo de los ciberdelincuentes, que intentan crear el mayor caos posible en una parte vital de la infraestructura estadounidense. «Esto es algo que sucederá una y otra vez», dijo Steve Cagle, director ejecutivo de Clearwater, a una firma de cumplimiento de atención médica.
Con una extensa red de hospitales y clínicas, las grandes organizaciones aún no han identificado dónde son vulnerables y cómo minimizar la interrupción de un ataque importante. La industria “nunca planeó algo como esto”, dijo Cagle.
Mientras Ascension continúa tratando a los pacientes, el peligro de perder partes de la historia de un paciente es palpable. En las entrevistas, los médicos y enfermeras describieron las amenazas a la atención de los pacientes: es posible que las personas no recuerden qué medicamentos están tomando; Se podrán omitir visitas previas así como los resultados de procedimientos o pruebas anteriores.
En Austin, Kittelson dijo que tuvo que buscar entre docenas de hojas de papel para averiguar qué medicamentos podría recetar un médico o encontrar algo sobre el estado del paciente. “Me preocupan los gráficos”, dijo, señalando que había registrado dolorosamente manualmente la condición y el tratamiento de un paciente.
Y muchas de las protecciones de rutina no han estado disponibles. Las enfermeras no podían escanear la medicación y la pulsera de un paciente para asegurarse de que el paciente correcto recibiera la medicación adecuada, lo que aumentaba las posibilidades de que se produjera un error de medicación. Y se han vuelto mucho menos seguros de que los médicos hayan recibido actualizaciones importantes sobre el estado de un paciente.
«Nuestro gran problema es que el ciberataque ha paralizado a las enfermeras», dijo Lisa Watson, enfermera sindicalizada del Hospital Ascension en Wichita, Kansas. Observó que la carga de trabajo había aumentado significativamente.
«Esto es mucho más que los viejos gráficos de papel», dijo Watson. Las enfermeras tenían que escribir recetas y otros tratamientos en formularios separados destinados a diferentes departamentos. En lugar de recibir alertas inmediatas en una computadora, es posible que una enfermera no vea un nuevo resultado de laboratorio durante horas.
El martes, Ascension dijo que está «progresando tanto en la restauración de las operaciones como en la reconexión de nuestros socios a la red», y algunas enfermeras dicen que pronto tendrán acceso limitado a datos más antiguos. Pero Ascension no ofreció un cronograma para restaurar el acceso digital completo y dijo en un comunicado enviado por correo electrónico el martes por la noche que «llevará tiempo volver a las operaciones normales».
Pocos proveedores estaban dispuestos a discutir públicamente el alcance del daño causado por los ataques de ransomware, en muchos estados y departamentos médicos. La devastación aún no se ha evaluado completamente y Ascension tiene la intención de mantener abiertas tantas operaciones como sea posible.
Las enfermeras sindicales dicen que el ciberataque ha empeorado la escasez de personal. El tema ha afectado las relaciones laborales con Ascension, aunque la empresa lo ha negado. Las enfermeras de Wichita recientemente chocaron con la dirección del hospital por si había muy pocas enfermeras en la unidad de cuidados intensivos.
«A pesar de los desafíos planteados por el reciente ataque de ransomware, la seguridad del paciente sigue siendo nuestra principal prioridad», dijo Ascension en un comunicado enviado por correo electrónico. «Nuestros médicos, enfermeras y equipos de atención dedicados están demostrando un enfoque y una resiliencia increíbles a medida que utilizamos sistemas manuales y en papel durante la interrupción continua de los sistemas normales».
«Nuestros equipos de soporte tienen experiencia en situaciones dinámicas y están adecuadamente capacitados para mantener una atención de alta calidad durante el tiempo de inactividad», añadió. «Nuestros líderes, médicos, equipos de atención y colaboradores están trabajando para garantizar que la atención al paciente continúe con poca o ninguna interrupción».
Ascension dijo que informará a los pacientes si es posible que necesiten reprogramar una cita o procedimiento. La organización aún no ha determinado si los datos confidenciales de los pacientes se vieron comprometidos y remite al público a su sitio web para obtener actualizaciones.
Los riesgos de los ciberataques para la atención al paciente están bien documentados. Los estudios han demostrado que la mortalidad hospitalaria aumenta después de un ataque y los efectos se pueden sentir incluso en los hospitales cercanos, lo que reduce la calidad de la atención en los hospitales que se ven obligados a admitir pacientes adicionales.
Una preocupación adicional es si la información confidencial del paciente se ha visto comprometida y quién debe ser considerado responsable. A raíz del ataque a Change, los médicos están presionando a los funcionarios de salud del gobierno de EE. UU. para que dejen en claro que Change tiene la responsabilidad de alertar a los pacientes. Según una carta de la Asociación Médica Estadounidense y otros grupos médicos a principios de esta semana, los médicos instaron a los funcionarios a “declarar públicamente que la investigación sobre la infracción y los esfuerzos de remediación inmediata se centrarán en Change Healthcare y no en los proveedores afectados por la infracción de Change Healthcare. «
Estos tipos de ataques de ransomware se han vuelto cada vez más comunes, a medida que los ciberdelincuentes, a menudo respaldados por delincuentes con vínculos con estados extranjeros como Rusia o China, han determinado cuán rentable y disruptivo puede ser atacar a grandes organizaciones de atención médica. El director ejecutivo de UnitedHealth, Andrew Witty, dijo recientemente al Congreso que la empresa pagó 22 millones de dólares en rescates a ciberdelincuentes.
El ataque a Change ha atraído mucha más atención del gobierno al problema. La Casa Blanca y las agencias federales han celebrado varias reuniones con funcionarios de la industria y el Congreso pidió a Witty que compareciera a principios de este mes para discutir el hack en detalle. Muchos legisladores han señalado el tamaño cada vez mayor de las organizaciones de atención médica como una de las razones por las que la prestación de atención médica a millones de estadounidenses se ha vuelto cada vez más vulnerable.
Los expertos en ciberseguridad dicen que los hospitales no tienen más remedio que cerrar sus sistemas si un pirata informático logra entrar. A medida que los delincuentes se infiltran en todo el sistema informático, “los hospitales no tienen más remedio que recurrir al papel”, dijo Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información de Salud, que describió como una vigilancia virtual del vecindario para la industria.
Dijo que no sería realista esperar que un hospital tuviera sistemas redundantes en caso de un ataque de ransomware o malware. «Simplemente no es posible ni factible en este entorno económico», afirmó Weiss.