El Hospital Clínic ha vuelto a las recetas en boli y a papel. Y a los quebraderos de cabecera en la droguería hospitalaria para entender la pago del médico. Y a las colas a las puertas del laboratorio en indagación de los resultados de las analíticas. El ciberataque que el pasado domingo dejó inutilizado todo su sistema informático ha puesto patas en lo alto la operativa asistencial del hospital de remisión para 540.000 barceloneses: se han dejado de hacer 4.000 analíticas, 11.000 consultas externas y más de 300 intervenciones. Y mientras las pesquisas policiales siguen su curso —los ciberdelincuentes piden 4,5 millones de dólares para liberar los datos— y los técnicos intentan restablecer el sistema, los sanitarios han tirado de procesos rudimentarios y técnicas de trabajo analógicas para redimir la maduro actividad asistencial posible: la pericia —y la memoria— de los séniors, volviendo a dinámicas laborales de sus tiempos mozos, se ha impuesto por penuria delante la incrédula observación de los más jóvenes. “Ha sido como hacer un delirio en el tiempo”, comenta Ana Alonso, coordinadora asistencial de Patología del Hígado, mientras cuidado papeles y más papeles en un pequeño fichero.
El ciberataque fue madrugador, recuerda Antoni Castells, director médico del centro. Casi que los sacó de la cama. Pasaban pocos minutos de las ocho y media de la mañana del domingo cuando el responsable de policía lanzó la primera sobresalto: se había caído el sistema. No podía penetrar al SAP, que es como “el Excel del hospital”, en palabras de Castells, donde se cuidado toda la actividad asistencial. Los técnicos se pusieron a averiguar el veredicto y no tardaron en barruntar lo peor, rememora David Vidal, director de Sistemas de Información del centro: “Un técnico me dice: ‘Tengo cinco contraseñas de los servidores, he probado y no me funciona ninguna’. Por intuición, eso ya me olía a un ciberataque”. Pasadas las 11 de la mañana, el centro comunicó el incidente a la Agencia Catalana de Ciberseguridad y se puso en marcha el gobierno de crisis. El Clínic no podía pararse.
El domingo estaba relativamente cascarilla porque la actividad es limitada y el hospital disponía de una especie de plan de contingencia que permite a los profesionales tener llegada a datos básicos de los pacientes para continuar trabajando: en unos ordenadores concretos, tenían información descargada, básicamente de tratamientos, que se podía imprimir y trabajar sobre ella. A mano, claro.
El gran problema era el lunes. Y el martes. Y el miércoles… El convexidad de actividad entre semana, con visitas al experto, pruebas e intervenciones, es mucho maduro que un domingo y el hospital tenía su sistema en cabreado. Por no retener, no sabía ni a quién tenía citado ni cómo comunicarse con los pacientes, enfatiza Castells: “Estábamos totalmente incomunicados, no teníamos llegada a la historia del paciente, ni a su teléfono ni a su correo electrónico para poder avisar. Siquiera teníamos intranet y no podías hacer circular ningún tipo de información del plan de contingencia”.
El ransomware (fruncimiento de los términos ingleses ransom, rescate, y software, software informático) es un tipo de ciberataque que encripta los datos de un sistema para luego solicitar un rescate a cambio de liberarlos. La recomendación de las autoridades, como ha dicho la Generalitat, es no respaldar. Entre otras cosas, porque no hay garantías de que eso vaya a servir de poco. El vector de ataque más utilizado es el correo electrónico, asiduamente en forma de falsas facturas o entregas de paquetes que parecen proceder de fuentes de confianza (phishing) y que contienen un enlace o archivo adjunto. Si la víctima pincha en él, descargará todo el código zorro y el equipo quedará infectado, por muchos sistemas de protección y antivirus que se tengan. Otra forma habitual de colar el software problemático en los equipos es aprovecharse de que, a menudo, los ordenadores están desactualizados y, luego, no incorporan parches a los últimos agujeros de seguridad detectados. Los ciberdelincuentes saben cómo explotar esas brechas e introducen por ellas su código de secuestro.
Entre la enojo, la frustración y el cabreo, admiten los presentes en esas primeras horas de incertidumbre tras el ciberataque, la cúpula directiva del hospital empezó a trazar el plan de recital. La seguridad de los pacientes era lo primero y había que humillar la presión asistencial en el centro, sobre todo a través de las urgencias. Castells hizo un familia de Whatsapp con los directores de los principales hospitales de Barcelona y el Sistema de Emergencias Médicas para coordinar el desvío de los pacientes más graves susceptibles de ganar al Clínic, como los de códigos ictus e infarto (circuitos de intervención rápida para esta clase de enfermos). Mientras, Gemma Martínez, directora de Dispensario, recorría las unidades de cuidados intensivos para avalar el funcionamiento: “Cada paciente tiene su instructor y había uno central que lo recogía todo. Si están conectados por cable, llega la información, pero si van por wifi, no. Lo que hizo el personal de dispensario fue distribuirse por los boxes personalmente” para reforzar el control de los pacientes críticos, explica.
Igualmente revisaron los dispositivos de las salas de operaciones y las técnicas quirúrgicas que se podía hacer con el sistema caído y vieron si era factible permanecer el lunes la actividad del hospital de día y de algunas pruebas, como las endoscopias o los TAC. La radioterapia de una veintena de pacientes que no podían retrasarse el tratamiento, se remitió al hospital Sant Pau delante la imposibilidad de llevarla a lugar en el Clínic. Castells asegura que no ha corrido peligro la vida de ningún paciente, pero han sido días “muy complicados”.
La experiencia de los séniors, al rescate
Con las manos —informáticamente— atadas, la inventiva y la experiencia de los seniors tomaron el hospital. El bolígrafo volvió a las batas y se desempolvaron formularios antiguos, como peticiones de laboratorio, folios con doble copia y gráficas de dispensario, para dejar todo por escrito, relata Martínez. “Lo bueno fue el conocimiento de las personas séniors del hospital de sostener: ‘Eh, hemos de retornar a coger el boli’. La masa en un santiamén rebobinó todas sus neuronas y se puso en marcha”.
Menos mal que estaba el teléfono para pedir favores unos a otros y el Whatsapp, que “ha cascarilla a este hospital”, dice con sorna Alonso. “El paciente siempre ha estado atendido al 100%. No le ha faltado receta ni cero. Para él, todo con normalidad. Para nosotros, la normalidad ha sido como hacer un delirio en el tiempo. Y los que llevamos más de 25 abriles trabajando rápidamente hemos cogido la contingencia. A las nuevas generaciones digitales les ha costado más, porque la inmediatez está claro que no se da. Pero han sabido adaptarse y dinamizarse”.
Donde más se ha notado esa dorso antes en el tiempo es en la droguería hospitalaria, en extremo informatizada. “Los medicamentos están guardados en un armario inteligente, electrónico. Y el domingo y el lunes, no sabían dónde estaba qué”, refleja Castell. Otro ejemplo: las dosis de quimioterapia, que se acostumbran a preparar con un androide, se han tenido que hacer manualmente. La abastecimiento de toda la parte farmacéutica se ha complicado a todas bandas y ha habido que ponerse chinela: desde el ciberataque, cada cambio de receta hay que comunicarlo manualmente, es sostener, subiendo y bajando desde la planta hasta la droguería para informarlo.
Otro sitio donde se acumulan las prisas, los papeles y las batas blancas es en las puertas del laboratorio Core, donde cada día se analizan miles de muestras de cepa y orina procedentes de cada arista del hospital. Hace abriles que no se veían esas colas esperando resultados en papel, ni carpetas rebosantes de peticiones impresas con anotaciones a mano y resultados grapados encima. Hasta hace una semana, todo estaba automatizado a través de un gran androide que cruzaba el laboratorio de punta a punta y procesaba las muestras y sus resultados informáticamente. “Ahora tenemos que hacerlo todo a mano. No la parte de [examinar] los estudio, pero la devolución de los resultados, por ejemplo, desde los analizadores hasta las pantallas de los clínicos que revisan los resultados, no funciona y tienes que imprimirlo todo. Tenemos que programar los equipos a mano y diligenciar todo el trabajo de forma manual”, explica el cabecilla del laboratorio Core, José Luis Bedini.
A su aproximadamente, decenas de técnicos y otros sanitarios batallan con centenares de papeles y, en una especie de dependencia de montaje, juntan, grapan y revisan que cada petición concuerde con lo analizado. El primer día del ciberataque, recuerda Bedini, incluso tenían que transcribir todos los resultados a mano porque las impresoras estaban conectadas a la red y no se podía imprimir en todas. “Lo que decidimos el lunes es que había que hacer el trabajo como pudiésemos. Y había que averiguar alternativas. Se ha demostrado una vez más que la tecnología es importante, pero, al final, lo principal son las personas y sin el familia de técnicos que tenemos, hubiese sido difícil”.
Entrada restringido al sistema
Los informáticos del Clínic siguen trabajando a contrarreloj para recuperar el sistema. Vidal asegura que el ciberataque ha aprehendido al 70% del sistema del hospital. “A pesar de que en un primer momento la sensación era que se había caído todo, el ataque no llego a nuestro sistema central, que es el SAP, que seguía vivo. E hicimos una forma alternativa de penetrar a ese sistema: con una conexión directa con ordenadores securizados, teníamos llegada a la historia clínica. La única dificultad es que está restringido porque de una máquina que normalmente tenemos 10, ahora pasamos a una”.
El secuestro de equipos es una de las modalidades de ataque más usadas por los cibercriminales. Suponen el 65% del total, según datos de S21sec. Un referencia de ESET, otra empresa de ciberseguridad, sitúa a España como el segundo país del mundo (solo detrás de Japón) en el que se han detectado más métodos nuevos para robar información en el mes de febrero. “Debemos tomar medidas para que una vulnerabilidad sin parchear, una mala encargo de los permisos y contraseñas o no retener qué sistemas críticos necesitan maduro protección puedan suponer un serio problema para a estructura”, señala Josep Albons, director de investigación de ESET España.
El responsable de sistemas del centro estima que ya el pasado jueves, los ciberdelincuentes estaban circulando por los sistemas informáticos del Clínic. “El vector de entrada es, con inscripción probabilidad, el phishing. La seguridad 100% no existe. En todos los sistemas siempre hay eslabones débiles de la dependencia y el primer conexión débil somos los seres humanos, que somos los que picamos”, apunta.
Ransom House, el familia que ha valiente el ataque, suele llevar a cabo así, explica Marc Rivero, analista de ciberseguridad de Kaspersky: “Son expertos en atacar versiones de software que están desactualizadas y en utilizar afinados ataques de phishing [técnicas para engañar a la víctima haciéndose pasar por una persona o empresa de confianza] para poder comprometer cuentas de usuarios”. Raül Roca, CEO de la empresa de ciberseguridad Grail Cyber Tech, asegura que “es sumamente difícil librarse de un ataque dirigido” y apela a la prudencia. “Lo que más nos preocupa en estos casos es la persistencia de los atacantes en el sistema comprometido, que todavía estén internamente. Tienes que hacer la restauración de los sistemas de forma minuciosa, haciendo barricadas virtuales. Puedes restaurar la copia de seguridad, pero ¿está limpia o los atacantes dejaron herramientas suficientes para retornar a compendiar preciso a posteriori de la restauración?”.
Vidal admite, en sorpresa, que su principal preocupación era avalar que tenían una copia de seguridad para poder recuperar los datos y, cuando lo confirmaron, el lunes, se pusieron en marcha. Pero el proceso de recuperación, dice, es engorroso: “Recuperamos la copia, la aislamos, la ponemos en marcha, pasamos unas verificaciones y miramos que no haya cosas raras en los datos”.
Una semana a posteriori del ataque, el hospital ya ha recuperado el 90% de la actividad quirúrgica compleja, el 40% de la menos compleja y el 70% de las consultas externas. Igualmente recibe pacientes por código ictus e infarto. El Clínic aspira a retornar a la normalidad el próximo martes. Si no hay más incidentes.
Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para aceptar nuestra newsletter semanal.
Suscríbete para seguir leyendo
Lee sin límites
Creditos a Jessica Mouzo Quintáns,Manu González Pascual
Fuente
