Un virus informático poco antes del Covid-19: así sobrevivió el Hospital de Torrejón

El pasado lunes la Policía Nacional daba el aviso. En pleno combate contra el coronavirus con algunas UCI a punto de llegar al colapso por el alud de casos que está experimentado España en los últimos días, había un virus que tenia su punto de mira a los hospitales españoles. Su nombre es 'Netwalker' y, aunque aún no había hecho aparición de forma masiva en el internet patrio, las autoridades decidieron alertar sobre este nuevo ataque. Se trata de una nuevo tipo de 'ransomware'. Es un ataque que encripta y secuestra la infraestructura de informática más que conocido por estas latitudes. En otoño del pasado curso se dio una oleada de casos en nuestro país y empresas como Everis o la cadena SER claudicaron y vieron infectados sus sistemas.

TE PUEDE INTERESAR

NetWalker: así es el virus informático que amenaza con tumbar el sistema sanitario

Roberto R. Ballesteros

Pero, ¿qué efecto puede tener en un centro médico? No hace falta ni teorizar ni especular. Tenemos un antecedente reciente. El 18 de enero, el Hospital Universitario de Torrejón de Ardoz fue víctima de una escaramuza tecnológica de esta naturaleza que noqueó la infraestructura informática. Se decretó el silencio. "En general la información nos llegaba con cuenta gotas incluso a nosotros. Ni te cuento a los pacientes, que no podíamos contarlo", explica Mario, un nombre ficticio tras el que se esconde uno de los profesionales médicos del centro que vivió aquello. "Aquello fue un caos en toda regla. Si ocurriese ahora seria una putada brutal", comenta.

Los 'ransomware' suelen apoyarse en la ingeniería social para infectar a sus víctimas. Por ejemplo, 'Netwalker', según lo explicado en las últimas horas, utiliza de gancho correos con supuesta información útil sobre el Covid-19. Una vez se pincha en el enlace, ese equipo y los que estén en la misma red ven cómo sus archivos son encriptados y aparece un mensaje en el que se suele pedir un rescate. El proceso de recuperación es lento y, en muchas ocasiones, la información se pierde porque no existe un respaldo efectivo de la información. Además cada vez que se 'libera' un equipo, hay que securizarlo para que no vuelva a ser contagiado.

Pasar al papel

"De la noche a la mañana nos quedamos sin ordenadores", cuenta Lucía, nombre también ficticio, también doctora en Torrejón. "Este además es un hospital demasiado nuevo. No hay cultura del papel, no se utilizaba para nada. Los pacientes, a los que no podíamos dar detalles de lo ocurrido, alucinaban al vernos hacer informes con papel de calco", rematan.

Los pacientes, que no tenían detalles, alucinaban al vernos con papel de calco

Tanto la Comunidad como el centro reforzaron el servicio técnico del centro con el objetivo de levantar parte de la infraestructura. "Consiguieron recuperar al de un tiempo aproximadamente el 10% de los ordenadores gracias a copias de bases de datos, pero hemos estado condicionados hasta hace nada", cuenta. "Hoy aún no se ha recuperado completamente la normalidad de antes del ataque", comenta. Cuando vimos lo que decía la Policía esta semana pensamos que no habíamos salido de un virus para meternos en otro".

Los profesionales consultados coinciden en señalar que los equipos para cirugías o las máquinas asistenciales no están conectadas a internet así que no quedaron inutilizadas. Pero la comunicación y la logística quedó prácticamente tocada. "Tú cuando solicitas una analítica, por ejemplo lo haces en un PC. Esa alerta le salta al laboratorio para que procese la petición. Se vuelcan los datos y ese médico o cualquier otro que lo requiera puede verlo en donde haga falta. Lo mismo ocurre con una placa o una radiografía", explican. "Cuando ocurrió aquello se 'mandaban' circulares en papel. Iba alguien a recoger los resultados y los llevaban", aclara.

Riesgo para los pacientes

"En el quirófano contamos con pantallas en la que proyectar imágenes para saber dónde está el tumor. Pues eso no lo teníamos accesible. La recogida de constantes vitales durante las operaciones dejó de estar automatizada y teníamos que introducir esos valores a mano. El sistema de recordatorio citas por SMS también quedó fuera de juego. En administración estaban desbordados", cuenta Lucía. "Es una situación para la que no se está preparado. La dirección improvisó un circuito para trabajar analógicamente, porque como nadie se imagina que esto ocurre, no había plan de contingencia. Te ocupa mucho más tiempo de mucho más personal. Y ahora las manos no sobran precisamente", explica Mario.

En Torrejón se quedaron sin acceso a los historiales clínicos y antecedentes de los pacientes

Pero el escenario que queda tras un escenario así no solo aumenta la burocracia, hace perder tiempo a la plantilla y deja tocada la logística interna. "Nos quedamos sin acceso a todas las historias clínicas, la información de los preoperatorios...", añade este profesional. Eso es algo que puede poner ser poner en peligro la salud de los usuarios. Si esto sucediese ahora podrían quedarse sin acceso durante un tiempo a alergias, patologías previas, medicación... "Una persona joven puede explicarlo. Decir mira yo soy asmático o tuve tal neumonía bacteriana y le incluyes en el grupo de riesgo. Pero un paciente de 80 años, que precisamente es uno de los más vulnerables ante el coronavirus, muchas veces no sabe explicarse, no se acuerda...", argumenta.

"Con todo lo que te piden cuando ingresas por Covid, un ataque así te hace un roto increíble", explica Mario que recuerda que se hacen pruebas como analítica, radiografía y otras tantas. "Incluso la admisión y la asignación de cama se hace a través de un sistema informático. Si esto le pasa a un hospital, tal y como están las cosas, la saturación sería bestial", remata.

¿Se puede evitar?

¿Se pueden tomar medidas preventivas? Además de planificar un escenario de crisis, se pueden tomar ciertas precauciones. La primera, concienciar a los trabajadores del hospital de que estén vigilantes ante correos de remitentes desconocidos. "El usuario es la primera barrera de seguridad, después hay otras barreras por debajo, como puede ser el propio antivirus, en caso de que el usuario haga clic en el archivo adjunto o enlace", recuerda Miguel Ángel Arroyo, auditor de sistemas de información y responsable de negocio de la división de seguridad en SEMIC.

Explica que hay algunos indicios que nos pueden indicar que estamos ante un 'email' fraudulento: el dominio, que en el campo de remitente aparezcan dos cuentas de correo diferentes... Advierte que "puede tocarle a cualquiera" y que se puede encontrar información en internet, como datos personales de la plantilla que permitirían, junto a una cuenta genérica del hospital que incluya conseguir un buen puñado de direcciones a las que atacar.

"Hay que enfocar la seguridad desde un punto de vista de multicapas", añade Arroyo, con experiencia en entornos sanitarios. "Si fallan las capas superiores como el usuario, el antivirus o el firewall hay que pensar maneras de aislar el daño y frenar la propagación", añade. "¿El departamento de RRHH necesita estar conectado a contabilidad? Si limitas estos accesos cruzados puedes crear barreras adicionales y limitar el efecto del 'ramsomware'.

Si el paciente cero estuviese en ese departamento y estuviese aislado, la propagación se limitaría a esos equipos", añade. El otro aspecto a cuidar son las copias de seguridad. Y este experto pide no poner nombres obvios a estos respaldos en los servidores. "Lo primero que trata de hacer un atacante es cifrar esos respaldos, para que no se pueda recuperar la información y conseguir que paguen el rescate".