Los pacientes podrán saber si cuando le aplazan un tratamiento es porque el hospital está bajo ciberataque, según unas nuevas recomendaciones de Europa

Un ordenador muestra la imagen tridimensional de un corazón en un hospital de Heidelberg (Alemania)
  • Europa plantea cómo tendrán que actuar los hospitales frente a ciberataques incluso cuando no se filtre ningún dato personal: tendrán que informar siempre.
  • Hasta ahora, si un centro sufre un ataque que 'secuestra' sus sistemas pero no roba datos personales, solo era necesario comunicar el incidente a las autoridades.
  • Es lo que plantea el Comité Europeo de Protección de Datos en un borrador con nuevas recomendaciones abierto a feedback hasta el mes de marzo.
  • Descubre más historias en Business Insider España.

Si un centro hospitalario sufre un ataque informático con ransomware pero el incidente no consigue acceder ni robar ningún dato de los pacientes, el hospital debería informar igualmente. Es lo que concluye el Comité Europeo de Protección de Datos, que ha liberado unas nuevas recomendaciones, aunque por el momento son un borrador.

El CEPD es uno de los organismos europeos encargados de velar por la seguridad de los datos personales de ciudadanos y empresas. Esta semana ha publicado un dossier con recomendaciones generales para empresas y administraciones que sirven como complemento al trabajo ya publicado alrededor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea.

Una de las principales novedades que incluye este documento, al que se le pueden remitir modificaciones o sugerencias hasta el próximo 2 de marzo mediante este enlace, es que los hospitales tendrán que informar a sus pacientes siempre que sufra un ataque informático. 

Aunque el incidente no desemboque en el robo de información sanitaria de los pacientes y el hospital lo pueda mitigar con una copia de seguridad, el CEPD entiende que es necesaria proveer de explicaciones e información a aquellos pacientes que se puedan ver afectados por el ataque. Un ataque con ransomware trata de bloquear sistemas hasta que las víctimas paguen un rescate a los ciberdelincuentes, así que por su naturaleza, podría provocar retrasos en operaciones y tratamientos médicos.

Ya puedes diferenciar los síntomas del resfriado, el coronavirus y la gripe gracias a esta app creada por la Sociedad Española de Inmunología

Las empresas y las administraciones públicas están obligadas a informar de todo tipo de ataques o intentos de ataque que sufran a los organismos de control. En el caso de España, este papel lo protagoniza la Agencia Española de Protección de Datos (AEPD). Sin embargo, las empresas solo comunican en contadas ocasiones este tipo de incidentes a sus clientes —o pacientes, en el caso de un centro sanitario—.

El hospital tendrá que explicar si los retrasos son por ataques informáticos

Estas ocasiones excepcionales se deben a que durante el ataque se han podido filtrar datos personales muy sensibles, como son los relacionados con la salud. Sin embargo, en sus nuevas recomendaciones, el CEPD entiende que "aunque en los últimos años los datos de pacientes se han encriptado" —y por tanto, son más seguros—, el responsable de datos de un hospital atacado debería informar a los pacientes que sufran retrasos en sus operaciones o tratamientos.

Básicamente, lo que el CEPD propone es que los centros sanitarios expliquen debidamente a los pacientes que puedan verse afectados el por qué de los posibles retrasos que puedan sufrir. Todo esto se especifica en uno de los casos que recoge el dossier, con el que el organismo europeo trata de ejemplificar un gran número de posibles situaciones.

En concreto, el CEPD plantea qué ocurriría si un hospital es atacado con ransomware pero por suerte no se ha filtrado ningún dato personal y el centro puede recobrar la normalidad sin pagar ningún rescate gracias a que contaban con una copia de seguridad de sus sistemas. "Una notificación a la autoridad de control se consideraría necesaria, ya que los datos personales involucrados en el incidente son de categoría especial".

La OMS cree que el despliegue actual de la vacuna es un "fracaso moral catastrófico"

"También, y debido a que la recuperación de los datos podría llevar tiempo, provocando grandes retrasos en el cuidado de los pacientes, informar de la brecha será necesario debido al impacto que puede ocasionar".

Una mujer murió en Alemania mientras esperaba tratamiento y su hospital fue atacado

Hospital de Berlín durante la pandemia de coronavirus

Reuters

El CEPD remarca entre sus ejemplos un hipotético ataque informático a un hospital tras un año, el de la pandemia, en el que este tipo de incidentes han sido habituales. El caso más grave ocurrió en Alemania, en el que un ataque de esta índole provocó retrasos y demoras en operaciones, lo que llevó a una mujer a morir mientras se la trasladaba a otro centro. En mayo, el dueño de los hospitales Quirónsalud sufrió otro hackeo, del que se conocieron detalles semanas después.

Laura Prats es la responsable del área de Ciberriesgos en Sham España, un gestor de riesgos especialista en salud y en el área de lo medico-social que se ha adaptado a "las nuevas amenazas cibernéticas". Trabajan con los servicios de salud de Madrid, Andalucía, Cataluña y País Vasco, además de con grupos hospitalarios privados.

La propia Prats aclara que el sector sanitario se ha convertido en una de las principales dianas de los ciberdelincuentes, "por la sensibilidad de los datos gestionados y la criticidad de muchos de los servicios que ofrece". "La tecnología es la red en la que se soportan muchos de los actuales servicios sanitarios, y por lo tanto hay que mantener esa red segura para que los profesionales desarrollen su trabajo en condiciones óptimas", recuerda.

La pandemia y el uso de las tecnologías están detrás de un agravamiento de las lesiones físicas

España es uno de los países en los que más crecieron los ataques a centros hospitalarios en 2020, según datos recientes de Check Point. Solo está por detrás de Canadá y Alemania. "La expectativa es que la situación empeore", advierte Prats. En marzo del año pasado, con el confinamiento recién declarado, expertos advirtieron a Business Insider España de que las incidencias que sufren estos centros en el ámbito digital estaban siendo "una barbaridad".

"La inversión en ciberseguridad crece, pero la situación todavía es desigual"

"Nos consta que está incrementando la inversión en ciberseguridad, pero la situación todavía es desigual y necesita mejorar en algunos aspectos, tanto tecnológicos como organizativos", remarca Prats. A finales de 2019 ya fueron atacados los hospitales de Vithas. En marzo, un hospital en República Checa sufrió un ataque y un posterior 'apagón informático' que les llevó incluso a diagnosticar coronavirus a lápiz y papel.

España pierde miles de dosis de las vacunas contra el COVID-19 por no contar con las jeringuillas adecuadas

Hasta que las nuevas recomendaciones del Comité Europeo de Protección de Datos sean validadas, Prats, de Sham España, remite a las guías de prevención que aparecen en las páginas web del Instituto Nacional de Ciberseguridad, del Centro Criptológico Nacional o de la ENISA, la agencia europea de ciberseguridad. "Si a pesar de todo un hospital sufre un ciberataque que supera sus medidas de reacción, debe conectar a la mayor brevedad con un servicio técnico experto que intervenga".

"El tiempo entre que se inicia el ataque y una respuesta correcta es clave para minimizar el daño", remarca la profesional. "Una vez contenido el incidente, se deberá acudir a las autoridades y a los servicios legales. La notificación de incidentes es fundamental para prevenir el sector".

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.