De la suplantación de identidad al cifrado

El ataque comenzó con un intento de suplantación de identidad. La suplantación de identidad es un ciberdelito en el que los estafadores intentan engañar a alguien para que revele información personal o ponga en riesgo su sistema haciéndose pasar por una fuente de confianza. En nuestro caso, una persona del sistema de hospitales públicos irlandeses (HSE) abrió un archivo adjunto de Excel en un correo electrónico, lo que activó un tipo de programa malicioso (malware). El malware se propagó a otros sistemas en la red de varios centros hospitalarios antes de que pudiera ser detectado. El grupo Conti activó el malware el 14 de mayo de 2021. Todo el personal del HSE recibió este mensaje amenazador en nuestras computadoras: “Todos sus archivos ahora están cifrados con el ransomware CONTI. AVISO: Si intentan ignorarnos. Hemos descargado sus datos y procederemos a publicarlos en sitios web de noticias si no obtenemos una respuesta”. (sic)

En cuestión de minutos, el 80 % de la infraestructura informática del HSE quedó encriptada. La respuesta inmediata de TI consistió en desactivar todas las conexiones de red, para limitar así la propagación del malware. Experimentamos una pérdida de comunicación casi total con los departamentos externos. Incluso se interrumpió el servicio de Internet. Si bien el PACS a nivel nacional no resultó infectado, fue desconectado de la red y, por ende, dejó de funcionar. Todas nuestras modalidades fueron desconectadas de su sistema de archivo. No era posible emitir informes de los estudios, y los médicos no podían ver las imágenes ni los informes. Esto provocó una grave interrupción del servicio, con un perjuicio directo tanto para los pacientes como para su tratamiento. En cuanto a la magnitud, la reducción de la actividad radiológica se asemejó a la vivida durante el primer confinamiento por COVID.

Nuestra respuesta al ataque de ransomware en entornos de radiología
Elaboración de informes de radiología

Lo único que funcionaba eran las modalidades operativas. Sin PACS/RIS. Sin red. Sin acceso a correo electrónico ni a archivos compartidos. Al principio, visualizábamos las imágenes directamente desde las modalidades, lo cual fue un proceso tedioso y lento. Algunos centros fuera de nuestro hospital lograron establecer redes temporales con un mini-PACS. Incluso después de que se restauraron nuestras redes locales, nuestras soluciones de informes remotos permanecieron desactivadas durante varios meses.

Archivado temporal

Como es de suponer, esta fue una dificultad considerable, ya que nuestras modalidades estaban desconectadas del PACS. Desde luego, la cantidad de exploraciones se disminuyó drásticamente a causa de las repercusiones del ciberataque en todo el hospital. No obstante, la capacidad de almacenamiento de los escáneres se saturó pronto. En nuestro centro, aprovechamos el espacio de almacenamiento disponible en una estación de trabajo de IR. De este modo, logramos salir adelante durante los 5 días que estuvimos sin nuestro PACS. Sin embargo, otros centros agotaron en poco tiempo su capacidad de almacenamiento local y se vieron obligados a improvisar soluciones diferentes.

Conciliación tras restaurar el sistema

La labor aún no había concluido una vez que nuestros sistemas RIS/PACS estuvieron de nuevo operativos. Todavía teníamos que resolver el inconveniente de integrar los informes que se generaron con nuestros sistemas temporales en los sistemas RIS/PACS restablecidos. Hubo que conciliar cada estudio con un pedido y cada pedido con un informe. En total, este proceso de recuperación llevó varios meses en completarse.

Además, la respuesta del departamento de TI del HSE —si bien era imprescindible— tuvo consecuencias tan considerables como las del ataque. El nuevo software para puntos finales se implementó en todos los servidores y estaciones de trabajo de la noche a la mañana y sin realizar pruebas. Esto generó numerosos problemas e impidió el acceso a PACS para nuestro departamento y todos los demás departamentos de radiología durante varias semanas, hasta que se lograron establecer las excepciones necesarias.

Tal como ocurrió durante la crisis de COVID, la respuesta de todo el personal, tanto del departamento como de nuestro soporte de TI (interno y de los proveedores), fue magnífica, y todos se esforzaron al máximo para reactivar el sistema.

En total, los daños económicos derivados del ataque de ransomware para el HSE se calculan en más de 100 millones de euros, a lo que se suman importantes costos legales aún pendientes. Asimismo, se robó la información personal de 113 000 pacientes y el personal.

Protección de cara al futuro

Desde luego, la seguridad del HSE y de nuestros sistemas ha mejorado notablemente hoy en día. Estas son las principales mejoras que el HSE puso en marcha y que recomendamos para su centro:

• Hemos realizado una inversión importante para actualizar el PACS nacional, proporcionándole una arquitectura mucho más robusta y segura, basada en un sistema de nube privada. Con esta mejora, debería tener mayor capacidad de recuperación y acelerar su puesta en marcha. Más adelante, es posible que migremos a una solución completa en la nube.
• Instalamos software para puntos finales y otras mejoras de seguridad en las redes locales y nacionales, lo cual ha funcionado bien después de corregir los fallos iniciales.
• Establecimos políticas nacionales de ciberseguridad y una oficina de ciberseguridad.
• Configuramos soluciones de archivado de respaldo en nuestros escáneres, lo que nos permite cambiar rápidamente a estas si el PACS queda fuera de servicio.
• Actualmente, numerosos hospitales disponen de un inventario de equipos de TI y red que pueden implementarse en caso de emergencia para restablecer sistemas básicos. Se instalaron servidores de respaldo con una infraestructura y políticas de TI diseñadas para restablecer velozmente una red básica si el sistema principal queda fuera de servicio.
• Estamos migrando a sistemas de correo electrónico y otras comunicaciones externas (o fuera de las instalaciones), para poder seguir en contacto con el personal en caso de que ocurra un ataque.

A escala mundial, algunos centros están migrando su PACS a un sistema basado en la nube. El sistema en la nube tiene varias ventajas. Por un lado, suele ofrecer más niveles de seguridad con personal más especializado. Además, cuenta con varios respaldos en la nube, lo que agiliza la restauración del sistema. Por último, los datos de los clientes suelen estar cifrados, lo que supone un obstáculo mayor para que los piratas informáticos puedan acceder.

El software ImageView de CARESTREAM ofrece capacidades de seguridad avanzadas para protegerlo de los riesgos de ciberseguridad en constante cambio que amenazan sus estándares de atención al paciente, el cumplimiento normativo, su reputación y sus finanzas.

Aparte de considerar las medidas que tomamos en respuesta, recomiendo a los departamentos de radiología abordar otras posibles vulnerabilidades, como la falta de recursos del personal de TI, la coexistencia de varias versiones de software y de numerosas aplicaciones, además de los sistemas de respaldo poco confiables. Y si llegara a encontrarse en esta difícil situación, mi consejo final es: improvisar, adaptarse y sobreponerse.

Espero que haya encontrado valioso lo aprendido de nuestra vivencia al enfrentarnos a un ataque de ransomware en radiología. ¡Gracias por leernos!

Referencia

1 https://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf