El reciente ciberataque al gigante de facturación y pagos Change Healthcare reveló cuán graves son las vulnerabilidades en todo el sistema de salud de EE. UU. y alertó a los líderes de la industria y a los formuladores de políticas sobre la necesidad urgente de una mejor seguridad digital.
Los hospitales, las aseguradoras de salud, las clínicas médicas y otros actores de la industria han sido cada vez más el blanco de importantes ataques cibernéticos, que culminaron con el ataque a Change, una unidad del gigante UnitedHealth Group, el 21 de febrero.
El ataque de ransomware a la cámara de compensación más grande del país, que maneja un tercio de todos los registros médicos, ha tenido efectos generalizados. Las soluciones y soluciones alternativas han aliviado algunos desafíos, pero los proveedores aún no pueden cobrar miles de millones de dólares en pagos. Muchos hospitales y consultorios médicos más pequeños todavía luchan por cobrar más de un mes después de que Change se viera obligado a cerrar muchos de sus sistemas.
Incluso ahora, se ha publicado muy poca información sobre la naturaleza exacta y el alcance del ataque. UnitedHealth dijo que ha adelantado más de $3 mil millones a proveedores en dificultades y que espera que más servicios de Change estén disponibles en las próximas semanas a medida que los sistemas vuelvan a estar en línea.
El FBI y el Departamento de Salud y Servicios Humanos están investigando el hackeo de Change, incluso si los datos y la información personal de los pacientes se vieron comprometidos. Debido a que la red de Change sirve como una centralita digital que vincula la información desde la primera visita al médico de un paciente hasta un diagnóstico como cáncer o depresión y luego el tratamiento posterior a una aseguradora de salud para obtener beneficios y pagos, existe el riesgo de que el historial médico de las personas pueda mostrarse para años.
El ataque al cambio es sólo el ejemplo más amplio de lo que se ha convertido casi en algo común en la atención sanitaria. Los ataques de ransomware, en los que los delincuentes apagan los sistemas informáticos a menos que los propietarios paguen a los piratas informáticos, afectaron a 46 sistemas hospitalarios el año pasado, frente a 25 en 2022, según la empresa de seguridad de datos Emsisoft. Los piratas informáticos también han derribado empresas que prestan servicios como transcripción médica y facturación. .
que tan grande es el problema?
Los consultores de ciberseguridad y los funcionarios gubernamentales han identificado consistentemente la atención médica como el sector de la economía estadounidense más susceptible a ataques y como parte de la infraestructura crítica del país, como la energía y el agua.
“Todos deberíamos estar aterrorizados”, dijo DJ Patil, director de tecnología de la aseguradora Devoted Health y ex científico jefe de datos de la Oficina federal de Política Científica y Tecnológica. Él y otros han destacado las protecciones inadecuadas en los sistemas de salud de EE. UU., a pesar de acontecimientos dramáticos como el ataque de ransomware de 2017 que bloqueó los registros médicos del Servicio Nacional de Salud en Gran Bretaña, causando enormes trastornos a los pacientes.
“Toda la industria carece de recursos en lo que respecta a la ciberseguridad y la seguridad de la información”, dijo Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información de Salud, que describió como una vigilancia virtual del vecindario para la industria.
El ataque a Change ha atraído mucha más atención del gobierno al problema. La Casa Blanca y las agencias federales han celebrado varias reuniones con funcionarios de la industria. Los legisladores del Congreso también iniciaron investigaciones y los senadores citaron al director ejecutivo de UnitedHealth, Andrew Witty, para testificar esta primavera.
El sector financiero ha trabajado para identificar y fortalecer áreas vulnerables para hacerlas menos propensas a ataques sistémicos. Pero “la atención médica no ha sido sometida a un ejercicio de mapeo para comprender” exactamente dónde los principales puntos críticos corren el riesgo de ser pirateados, dijo Erik Decker, director de ciberseguridad de Intermountain Health, un importante sistema de salud regional con sede en Salt Lake. Ciudad.
«Aprendimos una lección: tenemos que hacer esto», dijo Decker, quien también preside un grupo de trabajo del sector privado sobre ciberseguridad en la atención médica que asesora al gobierno federal.
Wall Street y el sistema bancario del país han tenido fuertes incentivos financieros para reforzar sus defensas porque un hacker podría robar su dinero, y la industria enfrenta una regulación gubernamental más estricta.
Los ataques a la atención sanitaria pueden tener consecuencias mortales.
Los estudios han demostrado que la mortalidad hospitalaria aumenta después de un ataque. Los médicos, por ejemplo, no pueden revisar tratamientos médicos anteriores, comunicar notas a sus colegas ni comprobar las alergias de los pacientes.
Las cirugías programadas se cancelan y, en ocasiones, las ambulancias se desvían a otros hospitales, incluso en casos de emergencia, porque el ciberataque interrumpió las comunicaciones electrónicas, los registros médicos y otros sistemas. Las investigaciones sugieren que los hacks tienen un efecto en cascada, reduciendo la calidad de la atención en los hospitales cercanos que se ven obligados a aceptar pacientes adicionales.
«La ciberseguridad se ha convertido en una cuestión de seguridad del paciente», afirmó Steve Cagle, director ejecutivo de Clearwater, una empresa de cumplimiento de la atención sanitaria.
En algunos casos, los piratas informáticos han hecho públicos datos confidenciales de salud de los pacientes. Lehigh Valley Health Network se negó a pagar el rescate exigido por la misma entidad sospechosa del ataque a Change Healthcare. Luego, los piratas informáticos publicaron en línea fotografías de desnudos de pacientes que recibían tratamiento por cáncer de mama, según una demanda presentada por una de las víctimas. Se robaron cientos de fotografías de pacientes.
¿Por qué el sector sanitario es un objetivo?
Los registros médicos pueden reclamar varias veces la cantidad de dinero de una tarjeta de crédito robada. Y a diferencia de una tarjeta de crédito, que se puede cancelar rápidamente, la información médica de una persona no se puede cambiar.
«No podemos borrar su diagnóstico y enviarle uno nuevo», dijo John Riggi, asesor nacional de riesgos y ciberseguridad de la Asociación Estadounidense de Hospitales, un grupo comercial.
Pero también dijo que los documentos tienen valor “porque es fácil cometer fraude en la atención médica”. Las aseguradoras de salud, a diferencia de los bancos, a menudo no utilizan métodos elaborados para detectar el fraude, lo que facilita la presentación de reclamaciones falsas.
Las personas preocupadas por el robo de números de Seguro Social y otra información financiera pueden inscribirse en una agencia de seguimiento crediticio, pero los pacientes tienen pocos recursos si les roban su información personal de salud.
Las redes hospitalarias y otros grupos de atención médica también se han apresurado a pagar rescates para tratar de limitar la exposición de los pacientes, una decisión que sólo recompensa y envalentona a los piratas informáticos. El FBI aconseja a las víctimas de ataques de ransomware que no paguen, pero la mayoría de los hospitales lo hacen porque hay mucho en juego. En el caso de Change Healthcare, la compañía supuestamente pagó un rescate de 22 millones de dólares, informó Wired.
¿Por qué los hospitales y los médicos no hacen más?
A pesar del riesgo, los hospitales y consultorios médicos más pequeños a menudo no tienen el dinero para pagar medidas de seguridad mejoradas o la experiencia para detectar amenazas graves.
Y la tecnología más antigua rara vez es compatible con los últimos estándares de ciberseguridad; una mezcolanza de productos y proveedores conectados deja abiertas las puertas digitales, lo que atrae a los piratas informáticos. Debido a que los ataques habían estado dirigidos en gran medida a sistemas hospitalarios individuales antes de que Change fuera frustrado, los grupos subestimaron el riesgo.
Jacki Monson, vicepresidenta senior de Sutter Health y presidenta del Comité Nacional de Estadísticas Vitales y de Salud, dijo: “La gente tiene que decidir en qué invertir y la ciberseguridad no suele estar en la parte superior de la lista. «
¿Cuál es la respuesta del gobierno?
El marco regulatorio también es antiguo y fragmentado. Los hospitales pueden elegir entre una variedad de estándares de seguridad y no existe un control previo de su cumplimiento.
La seguridad digital está dividida entre varias oficinas dentro del HHS, y gran parte del poder regulatorio de la agencia todavía depende de una ley de 1996, redactada antes del desarrollo de los sistemas de salud digitales modernos o del aumento del pirateo con ransomware. El enfoque regulatorio del gobierno ha estado en la privacidad y el cumplimiento en lugar de fortalecerse contra los ataques.
La regulación de la seguridad de los datos de las aseguradoras es aún más irregular, ya que las aseguradoras de salud están reguladas en gran medida a nivel estatal. Muchos proveedores como Change, que brindan servicios digitales a hospitales pero no son proveedores de atención médica, también pueden escapar de las grietas regulatorias, dijo Monson.
Esto podría cambiar. La administración de Biden está pidiendo al HHS que garantice que los hospitales tengan la protección adecuada. La administración también está considerando revisar las reglas sobre el intercambio de datos de salud y puede imponer reglas más claras para las medidas de seguridad digital para los hospitales.
El senador Ron Wyden de Oregón, presidente demócrata del Comité de Finanzas del Senado, ha manifestado interés en establecer nuevas reglas más estrictas.
«Hoy en día no existen normas técnicas federales obligatorias para la ciberseguridad de la atención médica, a pesar de que hemos estado hablando de ello durante siglos, algo así como décadas», dijo durante una audiencia reciente sobre el presupuesto del presidente. «Quiero ser claro: las cosas deben cambiar ahora».
Actualizar los sistemas en todos los niveles puede resultar costoso, especialmente para organizaciones más pequeñas que operan con presupuestos limitados. Cuando el gobierno exigió a los hospitales que cumplieran con estándares de ciberseguridad para establecer registros médicos electrónicos hace 20 años, combinó reglas estrictas con importantes incentivos financieros.
La administración Biden ha solicitado 800 millones de dólares iniciales para ayudar a mejorar los sistemas hospitalarios como parte de su reciente propuesta presupuestaria. Pero no está claro si el Congreso podrá o estará dispuesto a proporcionar fondos para la modernización hoy.
Y algunos hospitales seguirán gastando dinero en la última tecnología de resonancia magnética o en más enfermeras en lugar de rigurosas protecciones digitales.
«Sin recursos adicionales para elevar el listón, los proveedores de atención médica y los contribuyentes seguirán eligiendo si pagan por la atención o por la ciberseguridad», dijo Iliana Peters, exfuncionaria federal de salud especializada en seguridad de datos que ahora es abogada en Polsinelli, una bufete de abogados en Washington, DC