Ocurrió a primera hora del jueves por la mañana. Los sistemas informáticos del Hospital Universitario de Düsseldorf han fallado. Nada funcionaba ya. Mientras tanto, las autoridades han confirmado que el incidente fue un ataque de hackers. Isabel Pfeiffer-Poensgen, ministra de Cultura y Ciencia de Renania del Norte-Westfalia, explicó en el parlamento estatal que se había enviado una carta de chantaje que, sin embargo, fue retirada tras la intervención policial. El Hospital Universitario de Düsseldorf es uno de los hospitales más grandes de Renania del Norte-Westfalia y atiende hasta 350.000 pacientes anualmente.

Debido al ataque hacker, no es posible realizar operaciones normales en el hospital. El servicio de ambulancia a urgencias tuvo que ser detenido, se aconseja a las personas necesitadas que no acudan al hospital por el momento y las próximas citas de tratamiento han sido canceladas o pospuestas.

No es el primer incidente en el que el sistema informático de un hospital es anulado por un ataque de hackers. Sucede una y otra vez que hospitales, consultas o institutos de investigación son objetivo de ciberdelincuentes. En el verano de 2019, la empresa patrocinadora Suroeste de la Cruz Roja Alemana fue víctima de un ataque de ransomware. 13 hospitales se vieron afectados. Lo peor podría evitarse con una reacción rápida y el apagado de los sistemas informáticos. Sin embargo, los médicos y el personal de enfermería solo podían trabajar con papel y bolígrafo durante días. En diciembre de 2019, el malware Emotet se propagó en un hospital de Fürth, Baviera. Además, el Handelsblatt informó de que desde principios de 2020 —y por tanto desde el inicio de la propagación del coronavirus en Alemania— el riesgo de ciberataques a hospitales ha seguido aumentando. Por ejemplo, ciberdelincuentes pertenecientes al grupo extremista de derechas «Orquesta del Golpe de Estado» aprovecharon la tensa situación y enviaron una carta de chantaje al ministro de Sanidad, Jens Spahn. Contenía una solicitud para transferir 25 millones de euros a una cuenta de Bitcoin para evitar ataques masivos de hackers contra hospitales alemanes. Sin embargo, no se sabe cómo terminó el incidente.

¿Por qué los hospitales tienen más probabilidades de ser víctimas de ciberataques?

El incidente en el Hospital Universitario de Düsseldorf ilustra que los ciberataques tienen un impacto masivo en los hospitales. La atención al paciente es limitada, las citas de tratamiento y las operaciones deben cancelarse en casos extremos, y los datos altamente sensibles pueden caer en manos equivocadas. Esto permite a los hackers ejercer una presión masiva. Esto, a su vez, convierte a los hospitales en un objetivo lucrativo para los ciberdelincuentes.

Al mismo tiempo, los hospitales son potencialmente muy vulnerables a los ciberataques, porque muchas personas diferentes tienen acceso a los complejos sistemas informáticos en red. Esto requiere un alto grado de seguridad informática. Por un lado, esto se refiere a personal suficientemente formado que garantice la seguridad de los servidores y sistemas informáticos las 24 horas del día. Por otro lado, los empleados hospitalarios también deben estar sensibilizados sobre los riesgos cibernéticos y estar adecuadamente formados. A menudo hay una falta de recursos para este alto nivel de medidas, ya sean costes, tiempo o incluso personal, lo que finalmente conduce a un aumento del riesgo de un ciberataque.

Los tipos de ataques más comunes incluyen la propagación de malware y ransomware. Además, los ataques DDoS son cada vez más frecuentes. Esto provoca una sobrecarga dirigida de los servidores, lo que en última instancia también hace imposible las operaciones hospitalarias normales y la atención sanitaria asociada.

¿Qué tan ciberseguro es el sistema sanitario alemán?

Una encuesta representativa de la población realizada por PWC sobre el tema «Seguridad de datos en clínicas y consultas médicas» de 2019 muestra que el 28 por ciento de los encuestados clasifica las fallas informáticas como un riesgo importante en términos de posibles complicaciones durante una estancia hospitalaria. Los encuestados evalúan la situación en las consultas médicas generales con aún más seriedad. Aquí, el 45 por ciento cree que no están en absoluto o al menos no están suficientemente preparados para las amenazas cibernéticas.

Desde 2019, existe la regulación KRITIS de la BSI (Oficina Federal de Seguridad de la Información), que clasifica ciertas industrias como relevantes para ataques y dignas de protección debido a la importancia y relevancia que tienen para toda la población alemana. Entre ellos se encuentran hospitales que pueden acoger a más de 30.000 pacientes hospitalizados. Estas instituciones deben aportar pruebas especiales y cumplir con los requisitos de seguridad informática. Además, están sujetos a la obligación de denunciar si han sido víctimas de un ciberataque. Sin embargo, esta regulación BSI no se aplica a hospitales más pequeños ni a consultas médicas. Son responsables independientes de su seguridad informática. Sin embargo, según el estudio de PWC, el 51 por ciento de los encuestados cree que los hospitales pequeños y especialmente rurales están mal o muy mal preparados para los ciberataques.

¿Cómo pueden los hospitales protegerse de los ciberataques?

Como en muchos otros sectores, la concienciación integral de los empleados es importante. Los encuestados del estudio de PWC también lo ven así. El 87 por ciento afirmó que la educación y la formación son medidas adecuadas para minimizar los ciberataques en clínicas y consultas.

Richard Renner, director general de Perseus, afirma:

«Un alto grado de concienciación, pruebas y formación regulares pueden ayudar a los empleados a estar alerta y atentos incluso en situaciones de estrés. Esto evitará que hagas clic o descarga equivocada. Si los hackers siguen teniendo éxito en su ataque, una gestión rápida de emergencias es esencial. En un ciberataque, cada minuto cuenta para poder evitar cosas peores.»

En el caso de los hospitales, las pruebas de penetración intensivas y regulares también pueden ayudar. Los sistemas informáticos son probados exhaustivamente por expertos en TI y se detectan brechas de seguridad en una fase temprana. Los huecos pueden ser cerrados inmediatamente por los expertos antes de que un hacker pueda usarlos como puerta de enlace.