¿Está la seguridad de los sistemas médicos en condición crítica?

Ransomware que paraliza los sistemas hospitalarios, desactiva los equipos de tomografía computarizada y otros dispositivos médicos y no permite que los pacientes reciban tratamiento. Historias clínicas robadas y vendidas al mejor postor. Hackers que toman el control de marcapasos y bombas de insulina. Estados nacionales que atacan la infraestructura médica de todo un país.

Estos son solo algunos de los posibles peligros de seguridad que los expertos en seguridad dicen que enfrenta el sistema de salud de EE. UU. Los peligros se conocen desde hace años y se han hecho intentos para proteger el sistema, pero ¿están el sistema y los pacientes más seguros hoy que en el pasado? esto es lo que opinan los expertos.

Lo que dicen los informes de seguridad

Tal vez el examen más profundo sobre la ciberseguridad de la atención médica fue llevado a cabo por el grupo de trabajo sobre ciberseguridad del sector médico, financiado y supervisado por el Departamento de Salud y Servicios Humanos del gobierno estadounidense. Cuando el grupo emitió su informe final en 2017, resumió concisamente sus conclusiones: “La seguridad médica está en condiciones críticas”.

Señaló además que hay una “grave falta de personal cualificado en materia de seguridad”, equipamiento médico antiguo vulnerable y que existen dificultades para proteger un sistema médico casi imposiblemente complejo compuesto por “sistemas de salud muy grandes, consultorios médicos individuales, pagadores públicos y privados, instituciones de investigación, desarrolladores de dispositivos médicos y compañías de software y una población de pacientes muy diversa y extendida”.

A lo cual pronto lo siguió un informe de Symantec de 2018 sobre el tema “Cyber Security and Healthcare: an Evolving Understanding of Risk” que advertía que los ciber riesgos de la atención médica estaban aumentando, en parte porque los datos médicos se han convertido en un objetivo de gran valor para los ciberdelincuentes. Tal vez aún más aterrador, agregó, las organizaciones de salud se han convertido en “objetivos de alto perfil para los llamados ‘hacktivistas’ y estados nacionales”

Qué opinan los expertos

¿Han mejorado las cosas desde entonces? El Dr. Christian Dameff, médico de la sala de emergencias de la Universidad de San Diego e investigador de ciberseguridad que se especializa en la atención médica, dice que los resultados son variados.

“Ha habido progreso”, dice, “pero todavía estamos muy atrazados de donde deberíamos estar, todavía tenemos intrusiones diarias, no hacemos un buen trabajo con la seguridad de los datos, pero al menos estamos empezando a reconocer los problemas y cambiar el rumbo”.

Los grandes hospitales y sistemas de salud en las áreas metropolitanas son los más protegidos, dice, porque tienen los fondos y la sofisticación para abordar los problemas, pero las instalaciones en áreas más remotas y rurales carecen de fondos y conocimientos técnicos, por lo que están en mayor riesgo.

Pero incluso los sistemas hospitalarios más sofisticados, afirma, "no tienen una estrategia de ciberseguridad coherente en su lugar, no es porque no quieran es porque todavía nadie ha podido establecerla, no se puede simplemente tomar prestado un manual de seguridad de finanzas o de otros sectores, el sector de la salud es mucho más complejo que otros cuando se trata de ciberseguridad”.

Entre las muchas dificultades  se encuentra que los hospitales: “Son como Frankenstein, conjuntos de partes dispares que incluyen sistemas de más de cien proveedores con poca interoperabilidad entre equipos”. Los dispositivos médicos como las máquinas de tomografía computarizada suelen usar sistemas operativos desactualizados como Windows XP que no pueden protegerse adecuadamente y los grandes sistemas pueden tener cientos de aparatos de este tipo, cada uno con sus propios desafíos de seguridad particulares.

Añade que en otros sectores, como la industria financiera, es fácil saber cuándo uno sufrió un ataque: el dinero desaparece, pero en la atención médica, las personas se enferman y mueren todos los días y puede ser difícil saber las razones de ello, por lo tanto, no hay señales de advertencia evidentes que indiquen que un hacker ha invadido un sistema.

Además, “muchas vulnerabilidades no tienen nada que ver con los sistemas médicos mismos, sino con el software comercial, como las bases de datos que no están protegidas adecuadamente”. El impacto de que sean pirateados es más serio que si sucediera en otro sector, explica. Si un hacker destruye todo un sistema hospitalario, significa que no se pueden realizar pruebas vitales y no se pueden administrar tratamientos porque los profesionales médicos no tienen acceso a los datos de los pacientes y los aparatos médicos no funcionarán si falla la infraestructura del hospital.

No al pánico, pero sí a la urgencia

El arquitecto técnico de Symantec, Axel Wirth, dice que a pesar de los innumerables peligros para el sistema de salud, “no creo que sea una situación límite, por lo que no debemos entrar en pánico, pero debemos proceder con un sentido de urgencia”.

Según Wirth, no ha habido un incidente documentado de que un dispositivo médico, como un marcapasos, haya sido tomado por hackers y usado para dañar a un paciente. Y le preocupa que si se exageran los peligros potenciales de los hackers en los equipos médicos, “existe la posibilidad de una reacción excesiva y los pacientes pueden rechazar un tratamiento médico perfectamente razonable por temor a los ciberataques”.

Sin embargo, dice que los hospitales aún están en peligro de ser víctimas de ransomware, software malicioso y otros ataques y está de acuerdo con el Dr. Dameff en que la complejidad del sistema de salud hace que sea difícil protegerlo, sugiere una serie de soluciones, como que los fabricantes de dispositivos médicos adviertan a los hospitales y  a los médicos sobre las vulnerabilidades de los dispositivos, que los hospitales incluyan requisitos de seguridad en los acuerdos de compra con los fabricantes y que se emprendan acciones gubernamentales para garantizar que los nuevos dispositivos cumplan con los requisitos de ciberseguridad.

También enfatiza que la educación pública de pacientes y profesionales sobre los peligros de los dispositivos médicos es vital, por ejemplo, sobre la importancia de tener actualizado el firmware de estos aparatos cuando los fabricantes lo recomiendan.

El Dr. Dameff agrega que ha habido avances en las protecciones informáticas, especialmente por parte de la FDA en los reglamentos de seguridad para nuevos dispositivos médicos, pero en última instancia, cree que la solución a la ciberseguridad médica requiere mucho más que acciones aisladas del gobierno, la industria y los fabricantes. La única forma de proteger a la industria de la salud y a los pacientes, concluye, es que el gobierno y la industria “traten a nuestro sistema médico como una infraestructura crítica, del mismo modo en que tratan a la red eléctrica, solo así podremos lograr un progreso real para lograrlo”.