TOPEKA, Kansas. Un ciberataque contra el sistema sanitario Ascension, que opera en 19 estados, obligó a algunos de sus 140 hospitales a desviar ambulancias, hizo que los pacientes pospusieran pruebas médicas y bloqueó el acceso en línea a los historiales de los pacientes.

Un portavoz de Ascension dijo que detectó “actividad inusual” el miércoles en sus sistemas de red informática. Los funcionarios se negaron a decir si el sistema de salud católico sin fines de lucro, con sede en St. Louis, fue víctima de un ataque de ransomware (un virus malicioso que bloquea acceso a información si no se paga una recompensa) o si había pagado un rescate, y no respondió inmediatamente a un correo electrónico en busca de actualizaciones.

Relacionadas

Pero el ataque tenía las características de un ransomware, y Ascension dijo que había llamado a Mandiant, la unidad de ciberseguridad de Google que es líder en la respuesta a este tipo de ataques. A principios de este año, un ciberataque contra Change Healthcare interrumpió los sistemas de atención sanitaria en todo el país, y el consejero delegado de su matriz, UnitedHealth Group Inc, reconoció en un testimonio ante el Congreso que había pagado un rescate de 22 millones de dólares en bitcoin.

Ascension dijo que tanto su sistema de registros electrónicos como el sistema MyChart que da a los pacientes acceso a sus registros y les permite comunicarse con sus médicos estaban fuera de línea.

“Hemos determinado que se trata de un incidente de ciberseguridad”, decía el comunicado del portavoz nacional de Ascension. “Nuestro trabajo de investigación y restauración tomará tiempo en completarse, y no tenemos una línea de tiempo para su finalización”.

Para evitar la propagación automatizada de ransomware, los funcionarios de TI del hospital suelen desconectar los registros médicos electrónicos y los sistemas de programación de citas. El CEO de UnitedHealth, Andrew Witty, dijo a los comités del Congreso que Change Healthcare se desconectó inmediatamente de otros sistemas para evitar la propagación del ataque durante su incidente.

El último comunicado del portavoz de Ascension, emitido el jueves, decía que se habían desviado ambulancias de “varios” hospitales, sin nombrarlos.

En Wichita (Kansas), según las noticias locales, los servicios médicos de urgencia locales empezaron a desviar el miércoles todas las llamadas de ambulancia de sus hospitales, aunque el portavoz del sistema sanitario de esa ciudad dijo el viernes que el desvío total de ambulancias había terminado el jueves por la tarde.

El servicio de emergencias médicas de Pensacola (Florida) también desvió pacientes del hospital Ascension de esa localidad a otros hospitales, según declaró su portavoz al Pensacola News Journal.

Y WTMJ-TV en Milwaukee informó que los pacientes de Ascension en el área dijeron que faltaban tomografías computarizadas y mamografías y no podían rellenar las recetas.

Connie Smith, presidenta de la Federación de Enfermeros y Profesionales de la Salud de Wisconsin, se encuentra entre los proveedores de Ascension que han recurrido a los historiales en papel esta semana para hacer frente a la situación. Smith, que coordina las intervenciones quirúrgicas en el hospital Ascension St. Francis de Milwaukee, dijo que el hospital no canceló ninguna intervención quirúrgica y siguió atendiendo a pacientes de urgencia.

Pero dijo que todo se ha ralentizado porque los sistemas electrónicos están integrados en las operaciones diarias del hospital. Los proveedores más jóvenes a menudo no están familiarizados con las copias en papel de los registros esenciales y se necesita más tiempo para documentar la atención al paciente, comprobar los resultados de las pruebas de laboratorio anteriores y verificar la información con las oficinas de los médicos, dijo.

Según Smith, los dirigentes sindicales consideran que los recortes de personal y servicios han agravado aún más la situación. El personal del hospital también ha recibido poca información sobre lo que provocó el ataque o cuándo las operaciones podrían acercarse a la normalidad, dijo.

“Haces todo lo que puedes, pero te sientes frustrado porque sabes que podrías haber hecho las cosas más rápido o haber llevado a ese paciente a casa antes si hubieras tenido algunas manos extra”, dijo Smith.

Ascension dijo que su sistema esperaba utilizar procedimientos de “tiempo de inactividad” “durante algún tiempo” y aconsejó a los pacientes que llevaran consigo a las citas notas sobre sus síntomas y una lista de números de receta o frascos de recetas.

Los expertos en ciberseguridad afirman que los ataques de ransomware han aumentado considerablemente en los últimos años, especialmente en el sector sanitario. Cada vez más, las bandas de ransomware roban datos antes de activar el malware de bloqueo de datos que paraliza las redes. La amenaza de hacer públicos los datos robados se utiliza para extorsionar pagos. Esos datos también pueden venderse en línea.

“Estamos trabajando sin descanso con asesores internos y externos para investigar, contener y restaurar nuestros sistemas”, decía el último comunicado del portavoz de Ascension.

El ataque contra Change Healthcare a principios de año retrasó los reembolsos de las aseguradoras y generó tensión en los consultorios médicos de todo el país. Change Healthcare proporciona la tecnología que utilizan los consultorios médicos y otros proveedores de atención sanitaria para presentar y procesar miles de millones de reclamaciones de seguros al año.

El viernes no estaba claro si el responsable de ambos ataques era el mismo grupo.

Witty afirmó que los sistemas centrales de Change Healthcare ya funcionan a pleno rendimiento. Pero los responsables de la empresa han dicho que puede llevar varios meses de análisis identificar y notificar a los afectados por los ataques.