Mantener la seguridad de los pacientes durante la administración de la anestesia es un desafío multifacético. La competencia y la supervisión de los profesionales de la anestesia son necesarias, pero no suficientes. La ergonomía del entorno, los sistemas de atención, la comunicación entre los proveedores y muchos otros factores pueden, en última instancia, afectar a la seguridad del paciente. Ahora, parece que debemos incluir las amenazas a la seguridad informática como una nueva dimensión de los peligros de seguridad.

Una de las violaciones más famosas de seguridad informática en sistemas de atención médica fue el ataque y cibersecuestro de datos mundial de Wannacry, que inhabilitó 600 empresas del Sistema de Salud Británico en 2017. No se informó de muertes relacionadas con este ataque, pero está bien documentado el acceso reducido a la atención médica. El impacto en el bienestar del paciente se desconoce. El costo para el sistema de salud se calculó en casi 6 millones de libras esterlinas.¹ Lamentablemente, la frecuencia de los ataques informáticos está en aumento y requiere que los sistemas de los hospitales gasten recursos significativos para prevenir cualquier impacto en el servicio de atención de pacientes. En la actualidad, se estima que las instituciones de atención médica sufren el doble o el triple de ataques en comparación con otros sectores,² que pueden alcanzar miles de ataques informáticos por mes.

Los ataques en las organizaciones de atención médica siguen siendo un problema internacional. Debido a un ataque informático, un hospital universitario de la República Checa se vio forzado a posponer cirugías y a trasladar pacientes a otras instituciones de atención médica.³

Ese hospital era un centro importante de pruebas para el COVID-19, de modo que también se vio afectada su capacidad para manejar la pandemia. En Estados Unidos, se identificó una mayor amenaza de ataques informáticos en octubre de 2020, y hubo varios ataques perpetrados en organizaciones de atención médica que afectaron a los servicios de atención médica.⁴ Por ejemplo, el 28 de octubre de 2020, el mismo día en que el New York Times publicó un artículo sobre el aumento de las amenazas, un ataque informático inhabilitó el sistema de expedientes médicos electrónicos en la Universidad de Vermont y afectó a seis hospitales que pertenecían a la red de atención.⁵ Todos los aspectos de atención fueron afectados y muchos pacientes no pudieron ser atendidos, pero el informe sobre los pacientes que recibían tratamiento contra el cáncer fue particularmente desgarrador. Como resultado del ataque informático, todos los expedientes que describían los protocolos de atención de quimioterapia quedaron inaccesibles. Se les negó la atención a todos los pacientes que llegaban para recibir quimioterapia simplemente porque los proveedores no podían acceder a sus expedientes para determinar cómo tratarlos de manera segura. Llevó casi un mes poder restablecer los sistemas y expedientes.

Hay distintos tipos de ataques informáticos. Los cibersecuestros de datos son obvios porque inhabilitan las terminales informáticas o bases de datos de los expedientes médicos electrónicos (EMR), y los perpetradores del ataque ofrecen restablecer el funcionamiento si los dueños del sistema atacado pagan un rescate. Aunque los pagos generalmente no garantizan el restablecimiento del servicio y no se recomiendan, muchas víctimas han pagado a los ciberdelincuentes. Si el cibersecuestro infecta y encripta un sistema, también debe suponerse que pueden haberse robado o “extraído” datos, dejando acceso libre al mal uso de la información médica del paciente (PHI). Hay otros tipos de ataques informáticos que podrían no ser tan obvios. Muchos dispositivos médicos están interconectados para recibir y enviar datos en la red del hospital; por lo tanto, son vulnerables a ataques informáticos. Los ciberdelincuentes pueden alterar las alarmas y la funcionalidad de los dispositivos de manera remota, y el cambio podría pasar desapercibido hasta que un paciente sufra un daño evidente.

¿Por qué los ciberdelincuentes toman como objetivo los sistemas de atención médica en particular?

Los datos de atención médica son especialmente valiosos porque contienen mucha información personal y financiera, y pueden venderse en el mercado negro a un precio elevado comparable a los datos de una tarjeta de crédito. El alto valor de los datos, combinado con una infraestructura de seguridad informática relativamente débil, hace que las instituciones de atención médica sean objetivos muy atractivos. Lamentablemente, la epidemia de COVID-19 ha aumentado el posible impacto de un ataque informático exitoso en la atención de los pacientes, creando así una oportunidad única para explotar la vulnerabilidad de los sistemas informáticos de atención médica. De hecho, el aumento de los ataques informáticos en organizaciones de atención médica que siguieron el aviso de un mayor nivel de amenaza en octubre de 2020 no parece estar motivado financieramente. El reciente aumento en los ataques dirigidos a instituciones de atención médica se produce después de los esfuerzos particularmente exitosos de las agencias del Gobierno de los EE. UU. para inhabilitar la capacidad de los piratas informáticos de afectar al proceso electoral en los EE. UU. El aumento actual en los ataques podría ser una represalia y un esfuerzo para dejar en claro que estos piratas informáticos aún son muy eficaces.

Lamentablemente, no podemos negar la posibilidad de que la motivación para estos ciberataques sea simplemente malicia dirigida a poblaciones vulnerables. Las instituciones médicas son muy vulnerables por la dependencia cada vez mayor de los sistemas de información (IS) para la atención al paciente, pero muchas carecen de los recursos necesarios para invertir en seguridad informática. Los enfermos, especialmente en una pandemia, son un objetivo atractivo para los delincuentes por la probabilidad de un impacto negativo en dichos pacientes, y la posibilidad de crear miedo o pánico.

¿Pueden prevenirse los ataques informáticos?

Kevin Mitnick, uno de los primeros piratas informáticos más famosos, estuvo en actividad desde la década de 1980 hasta 1995, cuando lo encarcelaron por delitos relacionados con la comunicación. Desde entonces, se convirtió en asesor de seguridad en informática, pero la historia de sus días como pirata informático es una lectura interesante.⁶ Una lección importante es que la estrategia de “ingeniería social” fue esencial para su éxito y sigue siendo la principal estrategia de los piratas informáticos de la actualidad. Según Mitnick, “la ingeniería social es el uso del engaño, la manipulación y la influencia para convencer a alguien que tiene acceso a un sistema informático de que haga algo, como hacer clic en un archivo adjunto o un mensaje de correo electrónico”.⁶

El mismo enfoque sigue siendo una de las estrategias principales para los delitos informáticos y puede ser sumamente eficaz dado el amplio uso del correo electrónico en las instituciones modernas.

Los departamentos de IS son los principales responsables de garantizar que los ataques informáticos fracasen. Una de las estrategias es usar la arquitectura de los sistemas de software y hardware para crear capas de seguridad (lo que se denomina “defensa en profundidad”) que complican la navegación del sistema por parte del atacante y limitan la propagación de programas maliciosos. Otra estrategia importante es implementar políticas para el usuario que puedan reducir la ingeniería social. Algunas de las estrategias de IS más visibles para los profesionales de la anestesia son el bloqueo de determinados sitios web o el acceso al correo electrónico personal mientras se utiliza una red o computadora en el trabajo. Los servicios comerciales de monitoreo de sitios supervisan los sitios web para identificar aquellos que podrían contener programas “malware” y para darles a las organizaciones vulnerables la información necesaria para bloquear el acceso a esos sitios desde las redes internas.

¿Cuál es la función de los profesionales de la anestesia en la seguridad informática de la atención médica?

La Sociedad Americana de Anestesiólogos (American Society of Anesthesiologists, ASA) creó recientemente un grupo de trabajo de seguridad informática (CSTF) con el objetivo de entender el alcance del impacto en la práctica de la anestesia afectada por ataques informáticos, y colaborar con otras organizaciones en la creación de recomendaciones que permitan mantener la seguridad de los pacientes. Un artículo introductorio del grupo de trabajo publicado en Monitor de la ASA da un marco general del alcance y la escala de los posibles riesgos de los ataques informáticos para nuestros pacientes.⁷ Debido a que no estamos capacitados como profesionales de sistemas de información, ¿tienen una función los profesionales de anestesia a la hora de mantener a los pacientes protegidos de los efectos de los ataques informáticos?

En respuesta a las recomendaciones del Gobierno de los EE. UU. sobre la “actividad de cibersecuestros de datos dirigidos a la atención médica y al sector de salud pública”, emitidas en conjunto con la Agencia de Seguridad de Infraestructura y Seguridad Informática (Cybersecurity and Infrastructure Security Agency, CISA), la Oficina Federal de Investigación (Federal Bureau of Investigation, FBI) y el Departamento de Salud y Servicios Humanos (Department of Health and Human Services, HHS), incluyendo la FDA,⁸ el Comité de Tecnología de la APSF emitió una directriz que todos los profesionales de la anestesia pueden adoptar para reducir el riesgo de los ciberataques a los pacientes (tabla 1).⁹ La directriz incluye estrategias personales, como la vigilancia del correo electrónico y la seguridad de las contraseñas, y estrategias departamentales. El comité recomienda realizar simulaciones de eventos de inactividad del sistema en las que se deben integrar todos los procesos necesarios para mantener la atención de los pacientes cuando uno o más sistemas de información no estén funcionando. Considere, por ejemplo, un paciente con politraumatismo que ingresa a la sala de urgencias y necesita el traslado urgente al pabellón para controlar una hemorragia. ¿Podría usted gestionar la continuidad de la atención compleja que necesita ese paciente sin sistemas informáticos, desde el traslado desde Urgencias hasta el pabellón y luego a la Unidad de Cuidados Intensivos (UCI)? ¿Cómo se comunicará desde urgencias para que el pabellón esté listo? ¿Cómo se coordinarán los servicios del laboratorio y del banco de sangre? ¿Estarán disponibles los suministros de la farmacia? ¿Cómo sabrá usted quién está de guardia para un servicio en particular? ¿Qué sistemas informáticos podrían seguir funcionando? ¿Los records en papel son adecuados para respaldar los procesos continuos de documentación y atención? Los resultados de estas simulaciones pueden servir de base para el desarrollo de procedimientos de atención en el caso de un ciberataque y proporcionar un enfoque para capacitar a los proveedores de atención médica.

TABLA 1: Recomendaciones de seguridad informática.

En respuesta a la amenaza continua de ciberataques en las instituciones de atención médica, el Comité de Tecnología de la APSF recomienda que todos los profesionales de la anestesia tomen las siguientes medidas.

REFORZAR LOS PROCEDIMIENTOS DE CONTINGENCIA

Revise los procedimientos de contingencia existentes. Incluya a otros líderes perioperatorios en la planificación. Informe a todos los profesionales de cómo continuar la atención del paciente mediante los procedimientos de contingencia. Si es posible, haga simulacro de un evento de contingencia.

AUMENTAR LA VIGILANCIA

Ocúpese de su correo electrónico. NO DÉ SU CONTRASEÑA DEL SISTEMA NI SU ID en respuesta a cualquier solicitud enviada por correo electrónico. Informe de mensajes de correo electrónico sospechosos a los servicios de sistemas de información (IS). Los ciberataques pueden afectar a cualquier dispositivo médico dependiente de la red. Esté atento a cualquier cambio imprevisto en la configuración o en el funcionamiento de las alarmas o funciones de dispositivos como bombas IV y respiradores.

INFORMAR DE LAS REVISIONES

Informe cuanto antes acerca de los problemas de los dispositivos médicos y de rendimiento del sistema al departamento de SI del hospital o ingeniería biomédica. Informes externos: A los fabricantes de los dispositivos A la FDA a [email protected] por preocupaciones sobre la seguridad informática. A la FDA mediante el Sistema de Informes Voluntarios MedWatch por el mal funcionamiento de dispositivos de cualquier tipo. Formulario de informe: https://www.fda.gov/safety/medical-product-safety-information/medwatch-forms-fda-safety-reporting

Se actualizarán las recomendaciones de manera más completa en cuanto estén disponibles en https://dev2.apsf.org/news-updates/the-apsf-issues-preliminary-guidance-on-cybersecurity-threats-to-u-s-health-care-systems/

Afortunadamente, el Gobierno y otras agencias están trabajando de manera activa para identificar los riesgos de los ciberataques y reducir o eliminar el impacto. El problema sigue en aumento, a pesar de la vigilancia y del apoyo de los sectores públicos y privados para tratar estos peligros de seguridad informática. Al igual que los virus humanos, los programas “malware” siguen siendo un riesgo continuo para los sistemas informáticos no protegidos. Los ciberdelincuentes no tienen ningún problema en atacar instituciones médicas. ⁸

Debido al grado en que la atención médica depende de sistemas informáticos interconectados en red, los ciberataques seguirán siendo una preocupación cada vez mayor para la seguridad de los pacientes. Los hábitos individuales para manejar el correo electrónico y los sitios web en el trabajo pueden reducir el riesgo de que ocurra un ataque, pero siempre es prudente vigilar los sistemas de información y dispositivos médicos para controlar que funcionen bien, y contar con planes de respaldo para seguir prestando una atención segura en el caso de que fallen los dispositivos y sistemas.

 

Julian M. Goldman, MD, es anestesiólogo en el Massachusetts General Hospital; director médico de Ingeniería Biomédica en Mass General Brigham; director del Programa de Interoperabilidad y Seguridad informática en dispositivos médicos “Plug and Play” (de inicio instantáneo) (MD PnP); y coordinador de Seguridad informática para equipos anestésicos y respiratorios, ISO/TC 121/WG 3.

Jeffrey Feldman, MD, MSE, es presidente del Comité de Tecnología de la APSF y profesor de Anestesiología Clínica del Children’s Hospital of Philadelphia, Facultad de Medicina Perelman.

---

Los autores no tienen conflictos de intereses.

---

Referencias

1. Ghafur S, Kristensen S, Honeyford K, et al. A retrospective impact analysis of the WannaCry cyberattack on the NHS. npj Digit Med. 2, 98 (2019). https://doi.org/10.1038/s41746-019-0161-6. Accessed December 21, 2020.
2. 2020 Healthcare Cybersecurity Report, https://www.herjavecgroup.com/wp-content/uploads/2019/12/healthcare-cybersecurity-report-2020.pdf. Accessed December 21, 2020.
3. Bizga A. Mysterious cyberattack cripples Czech hospital amid COVID-19 outbreak, https://hotforsecurity.bitdefender.com/blog/mysterious-cyberattack-cripples-czech-hospital-amid-covid-19-outbreak-22566.html Accessed November 18, 2020.
4. Perlroth, N. Officials warn of cyberattacks on hospitals as virus cases spike. New York Times. Oct. 28, 2020. https://www.nytimes.com/2020/10/28/us/hospitals-cyberattacks-coronavirus.html Accessed November 26, 2020.
5. Barry E, Perlroth N. Patients of a Vermont hospital are left ‘in the dark’ after a cyberattack. New York Times. November 25, 2020. https://www.nytimes.com/2020/11/26/us/hospital-cyber-attack.html? Accessed November 26, 2020.
6. Mitnick K. Ghost in the wires—my adventures as the world’s most wanted hacker. Little, Brown and Co. New York, 2011.
7. Goldman JM, Minzter B, Ortiz J, et al. Formation of an ASA Cybersecurity Task Force (CSTF) to protect patient safety. ASA Monitor. September 2020;84:34. https://doi.org/10.1097/01.ASM.0000716908.49348.5a Accessed December 10, 2020.
8. CISA Alert (AA20-302A), October 28, 2020, https://us-cert.cisa.gov/ncas/alerts/aa20-302a Accessed December 10, 2020.
9. The APSF issues preliminary guidance on cybersecurity threats to U.S. health care systems. APSF Newsletter online. November 2, 2020. https://dev2.apsf.org/news-updates/the-apsf-issues-preliminary-guidance-on-cybersecurity-threats-to-u-s-health-care-systems/ Accessed November 10, 2020.