Pacientes de un hospital en Vermont quedaron sin sus registros médicos después de un ciberataque

Ellen Barry y Nicole Perlroth
·8  min de lectura
El Centro Médico de la Universidad de Vermont en Burlington, objetivo de un ciberataque a finales de octubre, fotografiado el 23 de noviembre de 2020. (Elizabeth Frantz/The New York Times).
El Centro Médico de la Universidad de Vermont en Burlington, objetivo de un ciberataque a finales de octubre, fotografiado el 23 de noviembre de 2020. (Elizabeth Frantz/The New York Times).
Christopher Krebs, a quien el presidente Donald Trump despidió este mes de su puesto como director de CISA, la agencia de seguridad cibernética responsable de la defensa de los sistemas esenciales, en Washington, el 14 de mayo de 2019. (Amr Alfiky/The New York Times).
Christopher Krebs, a quien el presidente Donald Trump despidió este mes de su puesto como director de CISA, la agencia de seguridad cibernética responsable de la defensa de los sistemas esenciales, en Washington, el 14 de mayo de 2019. (Amr Alfiky/The New York Times).

A la hora del almuerzo el 28 de octubre, Colleen Cargill estaba en la unidad de oncología del Centro Médico de la Universidad de Vermont, preparando a los pacientes para sus infusiones de quimioterapia. Un paciente nuevo a veces se siente asustado y llora, pero las enfermeras tratan de volver la situación acogedora, y les ofrecen una mezcla de frutos secos y nueces, una manta caliente, un asiento con vista a un jardín.

Luego trabajan con extrema precisión: revisan los recuentos de plaquetas y glóbulos blancos, miden todas las dosis a un miligramo por pie cuadrado de área corporal, antes de colocar a la persona en un puerto y conectarlos a una solución intravenosa.

Sin embargo, ese día Cargill tuvo que verificar dos veces. Cuando trató de entrar en su estación de trabajo, no pudo hacerlo. Y le pasó de nuevo. Recurrió al sistema de tubos neumáticos usado para transportar el trabajo de laboratorio. Lo que vio allí fue un símbolo de precaución rojo, un círculo con una cruz. Caminó hasta la computadora de seguridad. También estaba apagada.

“No me asusté, pero luego noté que mi teléfono inalámbrico no funcionaba”, comentó

Ese fue el comienzo de los peores diez días de su carrera, dijo.

Los ataques cibernéticos a los sistemas de salud de Estados Unidos se han convertido en una especie de pandemia durante el último año, ya que los ciberdelincuentes rusos han cerrado los ensayos clínicos y los estudios de tratamiento para la vacuna contra el coronavirus. Asimismo, han cortado el acceso de los hospitales a los registros de los pacientes, con la finalidad de exigir rescates multimillonarios por su devolución.

Por si fuera poco, el presidente Donald Trump complicó la respuesta tras el despido la semana pasada de Christopher Krebs, director de la CISA, la agencia de seguridad cibernética responsable de defender los sistemas críticos de ciberataques, incluyendo hospitales y elecciones, después de que Krebs cuestionara las afirmaciones infundadas de Trump sobre el fraude electoral.

Los ataques se han desarrollado en gran medida en privado, ya que los hospitales se apresuran a restaurar sus sistemas —o a pagar el rescate con discreción— sin revelar información que pueda comprometer las investigaciones del FBI.

No obstante, estos han tenido un efecto devastador y duradero, especialmente entre los pacientes de cáncer, según dijeron los trabajadores y pacientes del sistema médico más grande de Vermont. Su sistema de registro médico electrónico fue restaurado el domingo, casi un mes después del ciberataque.

Mientras tanto, los médicos se vieron obligados a enviar a otros lugares a cientos de pacientes con cáncer, dijo Olivia Thompson, una enfermera del centro oncológico.

El personal recurrió a notas escritas y faxes, así como a hojear montones de papel para acceder a información vital. Trataron de reconstruir complejos protocolos de quimioterapia usando solo su memoria.

Y aunque el hospital se ha esforzado en asegurar a los pacientes que la mayoría de los tratamientos podrían continuar, algunos miembros del personal se preocupan de que no se haya comprendido bien el daño total del ataque de octubre.

“Recuperarse de algo así va a llevar muchos meses”, explicó Thompson. “Es como si estuviéramos solos, y nadie entiende la gravedad del asunto”.

Elise Legere, enfermera del centro oncológico, dijo que podía comparar las últimas semanas con una sola experiencia —trabajar en una unidad de quemados después del atentado del Maratón de Boston— y a menudo se cuestiona sobre la motivación del ciberataque.

“Es como preguntarse cuál es el objetivo de poner una bomba en una escuela primaria. ¿Cuál es el sentido?”, dijo. “Hay mucha maldad en el mundo. Quien haya orquestado este ataque sabe bien cuán devastador resulta”.

‘Esperamos que haya pánico’

Se cree que la última ola de ataques, que afectó a una decena de hospitales estadounidenses, fue realizada por un grupo particularmente poderoso de hackers de habla rusa que usaron un software de secuestro de datos a través de TrickBot, una vasta red de computadoras infectadas y utilizadas para los ciberataques, según los investigadores de seguridad que están rastreando los ataques.

Los hackers suelen trabajar con fines de lucro. El FBI estimó que los ciberdelincuentes, que utilizan un software de secuestro de datos llamado “Ryuk”, cobraron más de 61 millones de dólares en rescates durante un periodo de 21 meses entre 2018 y 2019, un récord.

Los ataques se ralentizaron la primavera pasada, cuando los ciberdelincuentes acordaron entre ellos no piratear hospitales en medio de la pandemia, según los investigadores de seguridad. Pero justo antes de las elecciones presidenciales, los grupos reanudaron sus ataques.

“En el pasado, atacaban a organizaciones de todo el mundo, pero esta vez lo hicieron muy específicamente contra los hospitales estadounidenses”, señaló Alex Holden, director ejecutivo de Hold Security, una empresa de Milwaukee.

El FBI dijo que no hará comentarios sobre los ataques con el fin de no afectar las investigaciones actuales.

Holden y otros expertos en seguridad cibernética dijeron que los objetivos y el momento en que se produjeron, pocas semanas después de que Estados Unidos fuera tras TrickBot, sugieren que una posible motivación podrían ser las represalias.

A finales de septiembre y octubre, temiendo que los ciberdelincuentes pudieran utilizar el software de secuestro de datos para obstaculizar las elecciones, el Comando Cibernético del Pentágono comenzó a piratear los sistemas de TrickBot. Microsoft presentó una demanda contra los sistemas en el tribunal federal y logró desmantelar con éxito el 94 por ciento de los servidores de TrickBot.

Los derribos convirtieron a los operadores de TrickBot en “un animal herido que contrataca”, dijo Holden. Su empresa capturó mensajes en línea enviados entre el grupo, incluyendo una lista de 400 hospitales de Estados Unidos que planeaban atacar, e informó a la policía.

“Esperamos que haya pánico”, escribió un hacker, en ruso.

Las autoridades estadounidenses advirtieron a los hospitales sobre una “amenaza creíble” de ataques el 23 de octubre, y luego se produjo una inusual serie de ataques a hospitales. Varias redes de hospitales —incluyendo la Red de Salud de la Universidad de Vermont y el sistema de salud del condado de St. Lawrence en Nueva York— afirmaron que no recibieron ninguna nota de rescate.

Otros informaron que los atacantes exigían que se les pagaran rescates “de ocho cifras, algo que no pueden solventar los sistemas regionales de atención médica”, dijo Allan Liska, analista de Recorded Future, una empresa de seguridad cibernética. Estas demandas inusuales, junto con la coordinación de los ataques, hacen “parecer que se trataba de un ataque desestabilizador” y no uno con fines de lucro, comentó.

Holden dijo que muchos de los sistemas de salud optaron por negociar con sus extorsionistas, incluso cuando los rescates se elevan a millones.

“Un gran número de víctimas están lidiando con estos ataques por su cuenta”, añadió.

La perspectiva desde adentro

En Vermont, el daño se llevó a cabo a través de una extensa red, y afectó con especial fuerza el centro oncológico.

“Tengo muy buenos amigos enfermeros de la unidad de cuidados intensivos que dicen: ‘No es un problema tan grave, solo tenemos que hacer registros en papel’”, dijo Cargill, la enfermera encargada.

Sin embargo, la unidad de cáncer estuvo muy retrasada durante semanas, y solo pudo atender a uno de cada cuatro pacientes de quimioterapia.

Cargill pasó el resto del día rechazando pacientes, una experiencia que no puede relatar sin romper en llanto, casi un mes después.

Los días siguientes, los médicos intentaron dar prioridad a los pacientes y recrear los protocolos de quimioterapia usando su memoria, con la ayuda gradual de la información de los registros de respaldo, dijo Legere, enfermera asesora de la unidad.

“Intentaban recordar todo lo que sabían sobre un paciente, pero nada de eso es exacto”, dijo. “Nuestros cerebros no están diseñados para ser registros médicos electrónicos. Eso no es seguro, y todos lo sabemos”.

Los pacientes, dijo, “se sienten muy desconcertados sobre cuándo recibirán tratamiento”, y muchos pacientes de cáncer que viven en áreas rurales no tienen los recursos para conducir cuatro horas hasta Boston para recibir tratamiento.

“La situación de Vermont parece intencional. Parece algo premeditado porque causaría mucho pánico”, dijo. “La respuesta federal y estatal es lo que me hace sentir muy abandonada. Tal vez haya cosas que no veo”.

Los legisladores también han acusado al gobierno de Trump de mermar la respuesta federal.

En un correo electrónico enviado a The New York Times, el senador Gary Peters, demócrata de Michigan y miembro del Comité de Seguridad Nacional, calificó de inaceptable el despido de Krebs por parte del presidente, y añadió que causó inestabilidad en su agencia al tratar de mitigar los ataques al hospital en medio de una pandemia creciente.

Los administradores de la Red de Salud de la Universidad de Vermont reconocen que el restablecimiento de los servicios resultó ser mucho más difícil de lo que esperaban.

“Si se observa por lo que han pasado otros hospitales, fueron días, no semanas”, dijo Al Gobeille, vicepresidente ejecutivo de operaciones del sistema. “Pensamos que eso era lo que esto sería. Y nos equivocamos”.

Dijo que un gran número de profesionales de la tecnología de la información —300 empleados del hospital, más diez miembros de la Guardia Nacional— fueron desplegados para reconstruir y limpiar 1300 servidores y 5000 computadoras portátiles y de escritorio. Un equipo de siete investigadores del FBI estuvo en el lugar durante dos días después del apagón, dijo, pero ha tenido poco o ningún contacto con los administradores desde entonces.

Con la restauración del sistema de registro electrónico de pacientes, dijo, los sistemas del hospital se han recuperado entre un 75 y un 80 por ciento.

La motivación detrás del ataque aún no es clara. Durante una conferencia de prensa el mes pasado, Stephen Leffler, presidente del centro médico, dijo que no había recibido ninguna petición de rescate. Sin embargo, desde entonces, a petición del FBI, los administradores han tenido cuidado de no discutir el asunto del rescate o confirmar la declaración de Leffler.

This article originally appeared in The New York Times.

© 2020 The New York Times Company