Ciberataque contra hospitales: ¿debemos conectar todo a la Red?

El ciberataque contra el Hospital Clínic de Barcelona, el pasado domingo, es el último episodio conocido de un fenómeno en auge constante. En un entorno cada vez más digitalizado, este fenómeno corre el riesgo de multiplicarse en los próximos años si no se actúa de forma más contundente. Lejos de ser anecdóticos, estos ataques ilustran la trampa del todo conectado y muestran que es imperativo recrear unos botones off para proteger nuestras instituciones estratégicas.

¿Por qué piratear hospitales? Durante mucho tiempo, los establecimientos sanitarios (y de forma general, las instituciones públicas) fueron menos afectados por este fenómeno, el cual se dirigía más a menudo a empresas y a particulares. Pero la pandemia cambió todo. De pronto, el carácter crítico de los hospitales resultó más evidente para todos, en primer lugar, para los propios hackers. Estos establecimientos se convirtieron entonces en una meta fácil para pedir rescates cada vez más altos.

De media, cada institución sanitaria sufrió 286 ataques informáticos a la semana en 2021, en aumento del 42% con respecto al año anterior. A nivel mundial, el número de ciberataques contra hospitales se disparó un 500%.

Consecuencias cada vez más profundas. Las consecuencias de estos ataques resultan inquietantes: en Alemania, una paciente en un estado crítico falleció tras un ciberataque en septiembre de 2020. Cuando los establecimientos se niegan a pagar, como suele ser el caso en muchos países, los hackers difunden datos confidenciales, como ocurrió en el Hospital de Dax en Francia, el cual, de paso, perdió diez años de su historial.

Estos ciberataques repetidos son también el resultado de una integración cada vez más profunda de lo digital en la gestión hospitalaria. La conexión en red de los hospitales y de las instituciones críticas es amplificada por la cuestión de la recaudación y del análisis de datos de salud. El despliegue de la red 5G debería intensificar este fenómeno, al conectar aún más dispositivos médicos.

Elegir desconectar para retomar el control. Existe otra forma de considerar la integridad de nuestras infraestructuras más estratégicas como los establecimientos de salud. El todo conectado nos hace individual y colectivamente vulnerables frente a ataques imparables que muchas veces proceden de otros Estados, frente a los cuales seguir las buenas prácticas de ciberhigiene no es suficiente. El cambio que operar parece a priori ir a contracorriente de todas las prácticas y tendencias actuales.

Así, especialistas como Andy Bochman, alto responsable del Laboratorio nacional de Idaho (EE UU) —uno de los líderes mundiales de la ciberseguridad industrial—, se empiezan a desmarcar del paradigma del todo conectado: “Si unos sistemas esenciales a una organización están conectados a internet, resulta imposible garantizar su seguridad total”. Dicho de otra manera, cualquier sistema es hackeable desde el momento en que está conectado. Esta lección universal, aplicable tanto a una red eléctrica como a una Administración pública o una pyme nos invita a repensar nuestro modelo en profundidad.

En concreto, ¿qué hacer? De forma contraintuitiva, cada vez más actores especializados preconizan reintegrar pura mecánica, desconexión y factor humano, al menos en algunos procesos críticos. Mientras que se realizan esfuerzos gigantescos para conectar y automatizar todo en el seno de instituciones como los hospitales, será sin duda indispensable apoyarse en sistemas que permitan trabajar de forma eficaz fuera de la red. Para no estar a la merced de todas las vulnerabilidades ligadas al entorno digital, es necesario volver a concebir botones off en establecimientos estratégicos. Lo que parece un paso hacia atrás tecnológicamente, opina Bochman, constituye en realidad un enfoque innovador en términos de gestión proactiva de riesgos.

En esta época de casas, objetos o coches conectados, el ciberataque contra hospitales como el Clínic de Barcelona nos recuerda que la filosofía del todo conectado tiene un precio.