NASHVILLE, Tennessee – Un ataque de ransomware ha llevado a una cadena de atención médica que opera 30 hospitales en seis estados a desviar a los pacientes de al menos algunas de sus salas de emergencia a otros hospitales, al tiempo que suspende ciertos procedimientos electivos, anunció la compañía.
En un comunicado el lunes, Ardent Health Services dijo que el ataque ocurrió el 23 de noviembre y que la compañía desconectó su red, suspendiendo el acceso de los usuarios a sus aplicaciones de tecnología de la información, incluido el software utilizado para documentar la atención al paciente.
La compañía dijo que aún no puede confirmar el alcance de la información financiera o de salud del paciente que haya sido comprometida. Ardent dice que informó el problema a las autoridades y contrató a asesores externos de inteligencia forense y de amenazas, mientras trabajaba con especialistas en ciberseguridad para restaurar las funciones de TI lo más rápido posible. Aún no hay un cronograma sobre cuándo se resolverán los problemas.
Ardent, que tiene su sede en el suburbio de Brentwood en Nashville, Tennessee, posee y opera 30 hospitales y más de 200 sitios de atención con más de 1,400 proveedores alineados en Oklahoma, Texas, Nueva Jersey, Nuevo México, Idaho y Kansas.
Todos sus hospitales continúan brindando exámenes médicos y atención estabilizadora a los pacientes que llegan a las salas de emergencia, dijo la compañía.
«Los hospitales de Ardent actualmente están operando en modo desviado, lo que significa que los hospitales están solicitando a los servicios de ambulancia locales que transporten a los pacientes que necesitan atención de emergencia a otros hospitales del área», dijo la compañía en su sitio web. «Esto garantiza que los pacientes críticamente enfermos tengan acceso inmediato al nivel de atención más adecuado».
La compañía dijo que cada hospital está evaluando su capacidad para atender de manera segura a los pacientes en su sala de emergencias, y que se proporcionarán actualizaciones sobre el estado de cada hospital a medida que continúen los esfuerzos para volver a ponerlos en línea.
En Topeka, Kansas, el ataque ha puesto en riesgo al Sistema de Salud de la Universidad de Kansas-St. Francisco sobre el “estado de desvío”. Debbie Cluck, portavoz, dijo que afecta a las ambulancias y que la sala de emergencias está abierta.
La interrupción está provocando que los pacientes acudan en masa al otro hospital de la ciudad, Stormont Vail. MollyPatt Eyestone, portavoz de Stormont Vail Health, dijo que el volumen de pacientes comenzó a aumentar el viernes y que se contrató personal adicional para ayudar durante el fin de semana.
“También estamos viendo un gran aumento en nuestra atención de urgencia y nuestros pacientes hospitalizados y eso también incluye a los bebés, por lo que estamos viendo un impacto. Pero eso es de esperarse”, afirmó.
Nadie se atribuyó de inmediato la responsabilidad del ataque. Los delincuentes de ransomware no suelen admitir un ataque a menos que la víctima se niegue a pagar.
«El ataque contra Ardent Health es atroz y rápidamente se está convirtiendo en la norma», dijo Allan Liska, analista de la firma de ciberseguridad Recorded Future. “Son cada vez más comunes historias como pacientes a los que se rechaza el acceso a las salas de urgencias, hospitales que se ven obligados a recurrir a lápiz y papel para la atención de los pacientes o personal hospitalario que no puede acceder a los registros médicos”. Él cree que el problema está empeorando.
Si bien algunos grupos no atacan hospitales, «son superados en número por aquellos que sí lo hacen y con el número de grupos de ransomware creciendo cada día, el porcentaje que no ataca hospitales está disminuyendo constantemente», dijo Liska. «La atención sanitaria, en general, es un objetivo atractivo para estos grupos porque existe la percepción de que es más probable que paguen, aunque la evidencia indique lo contrario».
Por supuesto, “incluso cuando los proveedores de atención médica no pagan, los registros de los pacientes pueden ser muy valiosos en los mercados clandestinos. Entonces, incluso si el grupo de ransomware no gana dinero con el pago del rescate, pueden ganar dinero vendiendo los datos de las patentes”, añadió Liska.
Un estudio global reciente realizado por la firma de ciberseguridad Sophos encontró que casi dos tercios de las organizaciones de atención médica se vieron afectadas por ataques de ransomware en el año que finalizó en marzo, el doble de la tasa de dos años antes, pero una ligera caída con respecto a 2022. La educación fue el sector con mayor probabilidad de sufrir ser golpeado, con una saturación de ataque del 80%.
Cada vez más, las bandas de ransomware roban datos antes de activar malware que codifica datos y paraliza las redes. La amenaza de hacer públicos los datos robados se utiliza para extorsionar pagos. Esos datos también se pueden vender online. Sophos descubrió que el robo de datos se produjo en uno de cada tres ataques de ransomware a organizaciones sanitarias.
El analista Brett Callow de la firma de ciberseguridad Emsisoft dijo que 25 sistemas de salud estadounidenses con 290 hospitales se vieron afectados el año pasado, mientras que este año la cifra es 36 con 128 hospitales. “Por supuesto, es posible que no todos los hospitales dentro de los sistemas se hayan visto afectados y que no todos se hayan visto afectados por igual”, dijo. «Además, una mayor resiliencia puede haber mejorado los tiempos de recuperación».
«No estamos en una posición significativamente mejor que en años anteriores y, de hecho, puede que sea peor», afirmó.
“Necesitamos desesperadamente encontrar formas de proteger mejor nuestros hospitales. Estos incidentes ponen en riesgo la vida de los pacientes, especialmente cuando es necesario desviar las ambulancias, y el hecho de que nadie parezca haber muerto todavía se debe en parte a la suerte, y esa suerte eventualmente se acabará”, añadió Callow.
La mayoría de los sindicatos de ransomware están dirigidos por hablantes de ruso con sede en antiguos estados soviéticos, fuera del alcance de las autoridades estadounidenses, aunque algunos «afiliados» que hacen el trabajo pesado de infectar objetivos y negociar rescates viven en Occidente, utilizando la infraestructura de software de los sindicatos y herramientas.
___
El reportero de tecnología de Associated Press Frank Bajak y la escritora Heather Hollingsworth en Mission, Kansas, contribuyeron a este informe.