El ciberataque al Hospital Clínic de Barcelona, desde dentro: “Ha sido como hacer un viaje en el tiempo”

El Hospital Clínic ha vuelto a las recetas en boli y a papel. Y a los quebraderos de cabeza en la farmacia hospitalaria para entender la letra del médico. Y a las colas a las puertas del laboratorio en busca de los resultados de las analíticas. El ciberataque que el pasado domingo dejó inutilizado todo su sistema informático ha puesto patas arriba la operativa asistencial del hospital de referencia para 540.000 barceloneses: se han dejado de hacer 4.000 analíticas, 11.000 consultas externas y más de 300 intervenciones. Y mientras las pesquisas policiales siguen su curso —los ciberdelincuentes piden 4,5 millones de dólares para liberar los datos— y los técnicos intentan restablecer el sistema, los sanitarios han tirado de procesos rudimentarios y técnicas de trabajo analógicas para salvar la mayor actividad asistencial posible: la pericia —y la memoria— de los séniors, volviendo a dinámicas laborales de sus tiempos mozos, se ha impuesto por necesidad ante la incrédula mirada de los más jóvenes. “Ha sido como hacer un viaje en el tiempo”, comenta Ana Alonso, coordinadora asistencial de Patología del Hígado, mientras guarda papeles y más papeles en un pequeño archivador.

El ciberataque fue madrugador, recuerda Antoni Castells, director médico del centro. Casi que los sacó de la cama. Pasaban pocos minutos de las ocho y media de la mañana del domingo cuando el responsable de guardia lanzó la primera alarma: se había caído el sistema. No podía acceder al SAP, que es como “el Excel del hospital”, en palabras de Castells, donde se guarda toda la actividad asistencial. Los técnicos se pusieron a buscar el fallo y no tardaron en barruntar lo peor, rememora David Vidal, director de Sistemas de Información del centro: “Un técnico me dice: ‘Tengo cinco contraseñas de los servidores, he probado y no me funciona ninguna’. Por intuición, eso ya me olía a un ciberataque”. Pasadas las 11 de la mañana, el centro comunicó el incidente a la Agencia Catalana de Ciberseguridad y se puso en marcha el gabinete de crisis. El Clínic no podía pararse.

El domingo estaba relativamente salvado porque la actividad es limitada y el hospital disponía de una especie de plan de contingencia que permite a los profesionales tener acceso a datos básicos de los pacientes para continuar trabajando: en unos ordenadores concretos, tenían información descargada, básicamente de tratamientos, que se podía imprimir y trabajar sobre ella. A mano, claro.

El gran problema era el lunes. Y el martes. Y el miércoles… El volumen de actividad entre semana, con visitas al especialista, pruebas e intervenciones, es mucho mayor que un domingo y el hospital tenía su sistema en negro. Por no saber, no sabía ni a quién tenía citado ni cómo comunicarse con los pacientes, enfatiza Castells: “Estábamos totalmente incomunicados, no teníamos acceso a la historia del paciente, ni a su teléfono ni a su correo electrónico para poder avisar. Tampoco teníamos intranet y no podías hacer circular ningún tipo de información del plan de contingencia”.

El ransomware (contracción de los términos ingleses ransom, rescate, y software, programa informático) es un tipo de ciberataque que encripta los datos de un sistema para luego solicitar un rescate a cambio de liberarlos. La recomendación de las autoridades, como ha dicho la Generalitat, es no pagar. Entre otras cosas, porque no hay garantías de que eso vaya a servir de algo. El vector de ataque más utilizado es el correo electrónico, habitualmente en forma de falsas facturas o entregas de paquetes que parecen proceder de fuentes de confianza (phishing) y que contienen un enlace o archivo adjunto. Si la víctima pincha en él, descargará todo el código malicioso y el equipo quedará infectado, por muchos sistemas de protección y antivirus que se tengan. Otra forma habitual de colar el software problemático en los equipos es aprovecharse de que, a menudo, los ordenadores están desactualizados y, por tanto, no incorporan parches a los últimos agujeros de seguridad detectados. Los ciberdelincuentes saben cómo explotar esas brechas e introducen por ellas su código de secuestro.

Entre la rabia, la frustración y el cabreo, admiten los presentes en esas primeras horas de incertidumbre tras el ciberataque, la cúpula directiva del hospital empezó a trazar el plan de actuación. La seguridad de los pacientes era lo primero y había que rebajar la presión asistencial en el centro, sobre todo a través de las urgencias. Castells hizo un grupo de Whatsapp con los directores de los principales hospitales de Barcelona y el Sistema de Emergencias Médicas para coordinar el desvío de los pacientes más graves susceptibles de llegar al Clínic, como los de códigos ictus e infarto (circuitos de intervención rápida para esta clase de enfermos). Mientras, Gemma Martínez, directora de Enfermería, recorría las unidades de cuidados intensivos para garantizar el funcionamiento: “Cada paciente tiene su monitor y había uno central que lo recogía todo. Si están conectados por cable, llega la información, pero si van por wifi, no. Lo que hizo el personal de enfermería fue distribuirse por los boxes personalmente” para asegurar el control de los pacientes críticos, explica.

También revisaron los dispositivos de las salas de operaciones y las técnicas quirúrgicas que se podía hacer con el sistema caído y vieron si era factible mantener el lunes la actividad del hospital de día y de algunas pruebas, como las endoscopias o los TAC. La radioterapia de una veintena de pacientes que no podían demorar el tratamiento, se remitió al hospital Sant Pau ante la imposibilidad de llevarla a cabo en el Clínic. Castells asegura que no ha corrido peligro la vida de ningún paciente, pero han sido días “muy complicados”.

La experiencia de los séniors, al rescate

Con las manos —informáticamente— atadas, la inventiva y la experiencia de los seniors tomaron el hospital. El bolígrafo volvió a las batas y se desempolvaron formularios antiguos, como peticiones de laboratorio, folios con doble copia y gráficas de enfermería, para dejar todo por escrito, relata Martínez. “Lo bueno fue el conocimiento de las personas séniors del hospital de decir: ‘Eh, hemos de volver a coger el boli’. La gente enseguida rebobinó todas sus neuronas y se puso en marcha”.

Menos mal que estaba el teléfono para pedir favores unos a otros y el Whatsapp, que “ha salvado a este hospital”, dice con sorna Alonso. “El paciente siempre ha estado atendido al 100%. No le ha faltado medicación ni nada. Para él, todo con normalidad. Para nosotros, la normalidad ha sido como hacer un viaje en el tiempo. Y los que llevamos más de 25 años trabajando rápidamente hemos cogido la contingencia. A las nuevas generaciones digitales les ha costado más, porque la inmediatez está claro que no se da. Pero han sabido adaptarse y dinamizarse”.

Donde más se ha notado esa vuelta atrás en el tiempo es en la farmacia hospitalaria, altamente informatizada. “Los medicamentos están guardados en un armario inteligente, electrónico. Y el domingo y el lunes, no sabían dónde estaba qué”, refleja Castell. Otro ejemplo: las dosis de quimioterapia, que se acostumbran a preparar con un robot, se han tenido que hacer manualmente. La logística de toda la parte farmacéutica se ha complicado a todas bandas y ha habido que gastar zapatilla: desde el ciberataque, cada cambio de medicación hay que comunicarlo manualmente, es decir, subiendo y bajando desde la planta hasta la farmacia para informarlo.

Otro sitio donde se acumulan las prisas, los papeles y las batas blancas es en las puertas del laboratorio Core, donde cada día se analizan miles de muestras de sangre y orina procedentes de cada esquina del hospital. Hace años que no se veían esas colas esperando resultados en papel, ni carpetas rebosantes de peticiones impresas con anotaciones a mano y resultados grapados encima. Hasta hace una semana, todo estaba automatizado a través de un gran robot que cruzaba el laboratorio de punta a punta y procesaba las muestras y sus resultados informáticamente. “Ahora tenemos que hacerlo todo a mano. No la parte de [examinar] los análisis, pero la devolución de los resultados, por ejemplo, desde los analizadores hasta las pantallas de los clínicos que revisan los resultados, no funciona y tienes que imprimirlo todo. Tenemos que programar los equipos a mano y gestionar todo el trabajo de forma manual”, explica el jefe del laboratorio Core, José Luis Bedini.

A su alrededor, decenas de técnicos y otros sanitarios batallan con centenares de papeles y, en una especie de cadena de montaje, juntan, grapan y revisan que cada petición concuerde con lo analizado. El primer día del ciberataque, recuerda Bedini, incluso tenían que transcribir todos los resultados a mano porque las impresoras estaban conectadas a la red y no se podía imprimir en todas. “Lo que decidimos el lunes es que había que hacer el trabajo como pudiésemos. Y había que buscar alternativas. Se ha demostrado una vez más que la tecnología es importante, pero, al final, lo principal son las personas y sin el grupo de técnicos que tenemos, hubiese sido imposible”.

Acceso restringido al sistema

Los informáticos del Clínic siguen trabajando a contrarreloj para recuperar el sistema. Vidal asegura que el ciberataque ha alcanzado al 70% del sistema del hospital. “A pesar de que en un primer momento la sensación era que se había caído todo, el ataque no llego a nuestro sistema central, que es el SAP, que seguía vivo. E hicimos una manera alternativa de acceder a ese sistema: con una conexión directa con ordenadores securizados, teníamos acceso a la historia clínica. La única dificultad es que está restringido porque de una máquina que normalmente tenemos 10, ahora pasamos a una”.

El secuestro de equipos es una de las modalidades de ataque más usadas por los cibercriminales. Suponen el 65% del total, según datos de S21sec. Un informe de ESET, otra empresa de ciberseguridad, sitúa a España como el segundo país del mundo (solo detrás de Japón) en el que se han detectado más métodos nuevos para robar información en el mes de febrero. “Debemos tomar medidas para que una vulnerabilidad sin parchear, una mala gestión de los permisos y contraseñas o no saber qué sistemas críticos necesitan mayor protección puedan suponer un serio problema para a organización”, señala Josep Albons, director de investigación de ESET España.

El responsable de sistemas del centro estima que ya el pasado jueves, los ciberdelincuentes estaban circulando por los sistemas informáticos del Clínic. “El vector de entrada es, con alta probabilidad, el phishing. La seguridad 100% no existe. En todos los sistemas siempre hay eslabones débiles de la cadena y el primer eslabón débil somos los seres humanos, que somos los que picamos”, apunta.

Ransom House, el grupo que ha lanzado el ataque, suele actuar así, explica Marc Rivero, analista de ciberseguridad de Kaspersky: “Son expertos en atacar versiones de software que están desactualizadas y en utilizar afinados ataques de phishing [técnicas para engañar a la víctima haciéndose pasar por una persona o empresa de confianza] para poder comprometer cuentas de usuarios”. Raül Roca, CEO de la empresa de ciberseguridad Grail Cyber Tech, asegura que “es sumamente difícil librarse de un ataque dirigido” y apela a la prudencia. “Lo que más nos preocupa en estos casos es la persistencia de los atacantes en el sistema comprometido, que todavía estén dentro. Tienes que hacer la restauración de los sistemas de forma minuciosa, haciendo barricadas virtuales. Puedes restaurar la copia de seguridad, pero ¿está limpia o los atacantes dejaron herramientas suficientes para volver a cifrar justo después de la restauración?”.

Vidal admite, en efecto, que su principal preocupación era garantizar que tenían una copia de seguridad para poder recuperar los datos y, cuando lo confirmaron, el lunes, se pusieron en marcha. Pero el proceso de recuperación, dice, es complejo: “Recuperamos la copia, la aislamos, la ponemos en marcha, pasamos unas verificaciones y miramos que no haya cosas raras en los datos”.

Una semana después del ataque, el hospital ya ha recuperado el 90% de la actividad quirúrgica compleja, el 40% de la menos compleja y el 70% de las consultas externas. También recibe pacientes por código ictus e infarto. El Clínic aspira a volver a la normalidad el próximo martes. Si no hay más incidentes.

Puedes seguir a EL PAÍS Tecnología en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.