El ciberataque de Ascension persiste y provoca retrasos en la atención al paciente
En más de una docena de estados, médicos y enfermeras han recurrido a órdenes de tratamiento escritas a mano y en papel para registrar las enfermedades de los pacientes y rastrearlas, sin poder acceder a los historiales médicos detallados que durante mucho tiempo han estado disponibles sólo a través de registros computarizados.
Los pacientes han esperado largos períodos en las salas de emergencia y sus tratamientos se han retrasado mientras los resultados de laboratorio y las lecturas de máquinas como las resonancias magnéticas se transmiten a través de esfuerzos improvisados que carecen de la velocidad de las cargas electrónicas.
Durante más de dos semanas, miles de personal médico han recurrido a métodos manuales después de un ciberataque a Ascension, uno de los sistemas de salud más grandes del país con alrededor de 140 hospitales en 19 estados y el Distrito de Columbia.
El ataque a gran escala del 8 de mayo recordó inquietantemente al cortar a tajos of Change Healthcare, una unidad de UnitedHealth Group que administra el sistema de pago de atención médica más grande del país. El ataque cerró las rutas de pago y facturación digital de Change, dejando a hospitales, médicos y farmacéuticos sin formas de comunicarse con las aseguradoras de salud durante semanas. Los pacientes no podían surtir recetas y los proveedores no podían recibir pago por la atención.
Si bien algunos ataques cibernéticos anteriores afectaron a un solo hospital o redes médicas más pequeñas, la falla en Change, que maneja un tercio de todos los registros de pacientes de EE. UU., subrayó los peligros de la consolidación cuando una entidad se vuelve tan esencial para el sistema de salud del país.
Los sistemas de Ascension permanecen inactivos indefinidamente, pero los médicos y enfermeras están trabajando para encontrar formas de acceder a cierta información sobre los historiales médicos de los pacientes consultando los registros médicos mantenidos por otros proveedores. Ascension también les dice a los médicos y enfermeras que pronto podrán ver los registros digitales existentes.
“Es una gran perturbación para todos los involucrados”, dijo Kristine Kittelson, enfermera del Centro Médico Ascension Seton en Austin, Texas, miembro del sindicato Nacional de Enfermeras Unidas.
El ataque de Ascension ha tenido un impacto generalizado similar al de Change, con algunos hospitales en Indiana, Michigan y en otros lugares desviando ambulancias. Los hospitales de Ascension atienden aproximadamente tres millones de visitas a la sala de emergencias al año y realizan casi 600.000 cirugías.
Al igual que Change, Ascension fue objeto de un ataque de ransomware y el grupo hospitalario dice que está trabajando con las agencias federales de aplicación de la ley. El ataque parece ser obra de un grupo conocido como Black Basta, que podría estar vinculado a ciberdelincuentes de habla rusa, según reportes de noticias.
Existe la preocupación de que los piratas informáticos puedan revelar información médica privada, y los pacientes ya han comenzado a presentar demandas federales contra Ascension alegando que no hizo lo suficiente para salvaguardar sus datos.
Las grandes organizaciones de atención médica se han convertido cada vez más en el objetivo principal de los ciberdelincuentes, decididos a causar tantos estragos como puedan en una parte vital de la infraestructura estadounidense. «Esto es algo que va a suceder una y otra vez», dijo Steve Cagle, director ejecutivo de Clearwater, una firma de cumplimiento de atención médica.
Con una red en expansión de hospitales y clínicas, las grandes organizaciones aún no han identificado dónde son vulnerables y cómo minimizar la interrupción de un ataque grave. La industria “nunca planeó esto”, dijo Cagle.
Mientras Ascension continúa tratando a los pacientes, los peligros de perder partes de la historia de un paciente son palpables. En entrevistas, médicos y enfermeras describieron las amenazas a la atención de los pacientes: es posible que las personas no recuerden qué medicamentos están tomando; Se podrán omitir visitas anteriores así como el resultado de procedimientos o pruebas anteriores.
En Austin, Kittelson dijo que tuvo que buscar entre docenas de hojas de papel para encontrar qué medicamento podría haber recetado un médico o para encontrar algo sobre el estado del paciente. “Me preocupan los registros”, dijo, señalando que había estado registrando minuciosamente a mano la condición y el tratamiento de un paciente.
Y muchas de las salvaguardias rutinarias no han estado disponibles. Las enfermeras no podían escanear un medicamento y la pulsera de un paciente para asegurarse de que el paciente correcto estuviera recibiendo el medicamento correcto, lo que aumentaba las probabilidades de un error de medicación. Y se han vuelto mucho menos seguros de que los médicos hayan recibido actualizaciones importantes sobre el estado de un paciente.
“Nuestro gran problema es que el ciberataque ha paralizado a las enfermeras”, dijo Lisa Watson, enfermera sindicalizada en un hospital de Ascension en Wichita, Kansas. Señaló que la carga de trabajo había aumentado significativamente.
«Esto es mucho más que los antiguos gráficos en papel», dijo la Sra. Watson. Las enfermeras han tenido que escribir recetas y otros tratamientos en formularios separados que se envían a diferentes departamentos. En lugar de recibir alertas inmediatas en una computadora, es posible que una enfermera no vea un nuevo resultado de laboratorio durante horas.
El martes, Ascension dijo que estaba “progresando tanto en la restauración de las operaciones como en la reconectación de nuestros socios a la red”, y algunas enfermeras dicen que pronto tendrán acceso limitado a registros anteriores. Pero Ascension no ha ofrecido un cronograma para la restauración del acceso digital completo, y dijo en un comunicado enviado por correo electrónico el martes por la noche únicamente que «llevará tiempo volver a las operaciones normales».
Pocos proveedores estaban dispuestos a discutir públicamente el alcance del daño causado por los ataques de ransomware en muchos estados y departamentos médicos. Los estragos aún no se han evaluado por completo y Ascension tiene la intención de mantener abiertas la mayor cantidad posible de sus operaciones.
Las enfermeras sindicales dicen que el ciberataque ha empeorado escasez de personal. El tema ha afectado las relaciones laborales con Ascension, aunque la empresa lo ha negado. Enfermeras en Wichita recientemente chocaron con la dirección del hospital sobre si había muy pocas enfermeras en la unidad de cuidados intensivos.
«A pesar de los desafíos planteados por el reciente ataque de ransomware, la seguridad del paciente sigue siendo nuestra máxima prioridad», dijo Ascension en un comunicado enviado por correo electrónico. «Nuestros dedicados médicos, enfermeras y equipos de atención están demostrando una increíble consideración y resiliencia al utilizar sistemas manuales y en papel durante la interrupción continua de los sistemas normales».
«Nuestros equipos de atención están bien versados en situaciones dinámicas y están adecuadamente capacitados para mantener una atención de alta calidad durante el tiempo de inactividad», agregó. «Nuestros líderes, médicos, equipos de atención y asociados están trabajando para garantizar que la atención al paciente continúe con una interrupción mínima o nula».
Ascension dijo que informaría a los pacientes si es posible que sea necesario reprogramar una cita o un procedimiento. La organización aún no ha determinado si los datos confidenciales de los pacientes se han visto comprometidos y está remitiendo al público a su sitio web para actualizaciones.
Los riesgos que suponen los ciberataques para la atención al paciente están bien documentados. Los estudios han demostrado que aumenta la mortalidad hospitalaria después de un ataque, y los efectos pueden sentirse incluso en los hospitales vecinos, lo que reduce la calidad de la atención en los hospitales obligado a aceptar pacientes adicionales.
Una preocupación adicional es si la información confidencial del paciente se ha visto comprometida y quién debe rendir cuentas. Como consecuencia del ataque a Change, los médicos están presionando a los funcionarios de salud del gobierno de EE. UU. para que dejen en claro que Change tiene la responsabilidad de alertar a los pacientes. De acuerdo a una carta Por parte de la Asociación Médica Estadounidense y otros grupos médicos a principios de esta semana, los médicos instaron a los funcionarios a «declarar públicamente que su investigación de incumplimiento y los esfuerzos inmediatos para remediarlo se centrarán en Change Healthcare, y no en los proveedores afectados por el incumplimiento de Change Healthcare».
Este tipo de ataques de ransomware se han vuelto cada vez más común, ya que los ciberdelincuentes, a menudo respaldados por delincuentes con vínculos con Estados extranjeros como Rusia o China, han determinado cuán lucrativo y perjudicial puede ser atacar a grandes organizaciones de salud. El director ejecutivo de UnitedHealth, Andrew Witty, dijo recientemente al Congreso que la compañía pagó 22 millones de dólares en rescate a ciberdelincuentes.
El ataque de Change ha atraído mucha más atención del gobierno al problema. La Casa Blanca y las agencias federales han celebrado varias reuniones con funcionarios de la industria y el Congreso. preguntó Witty aparecerá a principios de este mes para discutir el hack en detalle. Muchos legisladores señalaron el tamaño cada vez mayor de las organizaciones de atención médica como una de las razones por las que la prestación de atención médica en el país a millones de estadounidenses se ha vuelto cada vez más vulnerable.
Los expertos en ciberseguridad dicen que los hospitales no tienen más remedio que apagar sus sistemas si un pirata informático logra entrar. Debido a que los delincuentes se infiltran en todo el sistema informático, “los hospitales no tienen más remedio que recurrir al papel”, dijo Errol Weiss, director de seguridad del Centro de Análisis e Intercambio de Información de Salud, que describió como una vigilancia virtual del vecindario para la industria.
Dice que no sería realista esperar que un hospital tuviera un sistema de respaldo en caso de un ataque de ransomware o malware. «Simplemente no es posible ni factible en este entorno económico», afirmó Weiss.