Los actores del estado nación y las amenazas de ransomware llevan la atención médica de EE. UU. al límite

Microsoft informa que más de 389 instituciones sanitarias de EE. UU. quedaron paralizadas por ransomware solo en 2024, lo que supone un aumento del 300 % en los incidentes desde 2015. Estos ataques interrumpen las operaciones a una escala inmanejable para muchos hospitales, retrasan la atención de pacientes críticos y provocan tiempos de inactividad de hasta. por 900.000 dólares al día.

Los ciberataques a instalaciones sanitarias se han ampliado en frecuencia y alcance gracias a los modelos de ransomware como servicio (RaaS), lo que hace posible que incluso los atacantes más humildes puedan superar millones de organizaciones objetivo. Los métodos de ataque comunes incluyen phishing, explotación de sistemas sin parches y doble extorsión, donde los atacantes exigen un rescate para evitar la fuga de datos.

Si bien el pago promedio del rescate aumentó a 4,4 millones de dólares, más allá de las finanzas, su impacto en los resultados de los pacientes fue dramático, provocando retrasos en la cirugía, aplazamiento de la atención de emergencia y tiempos de espera más prolongados.

Un estudio informa que incluso las instalaciones vecinas resultan excesivamente quemadas durante estos ataques, con un gran número de pacientes de emergencia desplazados. Durante uno de esos eventos, los casos de accidente cerebrovascular informaron un aumento del 113 % en los hospitales cercanos y las tasas de supervivencia disminuyeron: del 40 % al 4,5 % para los paros cardíacos extrahospitalarios durante los períodos de ataque.

A principios de este año, Change Healthcare fue infiltrado por el grupo de ransomware BlackCat, que accedió a sistemas que carecían de autenticación multifactor. UnitedHealth Group (UHG), propietario de Change Healthcare, confirmó que la filtración involucró datos de casi un tercio de la población estadounidense. Después del ataque, Change Healthcare tuvo que cerrar partes de su red y, meses después, todavía no se ha recuperado por completo.

«El ciberataque expuso la vulnerabilidad de la infraestructura sanitaria de nuestra nación», dijo un portavoz de UHG.

Según se informa, UHG pagó un rescate sin precedentes de 22 millones de dólares al grupo ALPHV/BlackCat tras el ataque de Healthcare Change. Si bien Change obtuvo a cambio una copia de los datos robados, no hay evidencia de que los ciberdelincuentes realmente los hayan eliminado, lo que plantea dudas sobre la efectividad de los pagos de rescate como estrategia.

Estados nacionales como Rusia, China e Irán los explotan para espionaje o ventajas geopolíticas. El Pioneer Kitten de Irán apuntó específicamente a la atención sanitaria estadounidense para robar datos y pedir rescate. Tales amenazas reflejan el creciente interés de actores estatales hostiles en desestabilizar la atención sanitaria estadounidense.

Estos incidentes han provocado llamados a exigir salvaguardias regulatorias más estrictas. El senador Ron Wyden criticó recientemente las «prácticas laxas de ciberseguridad» de UnitedHealth e instó al Congreso a imponer estándares de ciberseguridad más estrictos para los proveedores de atención médica, particularmente aquellos que manejan grandes cantidades de datos de pacientes. Los organismos reguladores, como el Departamento de Salud y Servicios Humanos (HHS), se han hecho eco de estas preocupaciones y abogan por inversiones en ciberseguridad que se extiendan más allá de la privacidad de los datos para incluir medidas de resiliencia destinadas a proteger la disponibilidad de los servicios y la seguridad de los pacientes.

Mientras tanto, los hospitales siguen absorbiendo pérdidas mientras los ciberdelincuentes explotan las vulnerabilidades del sistema sanitario estadounidense. Hasta que entren en vigor nuevas regulaciones, tanto los pacientes como los proveedores enfrentan continuas amenazas tanto a la seguridad como a la estabilidad financiera, ya que el ransomware sigue siendo un adversario formidable en la atención médica estadounidense.