Secuestran historias clínicas electrónicas de hospital en Hollywood y piden el “rescate” en bitcoins

Hackers lograron que el centro médico les pagase US$ 17.000 a cambio de devolverle el acceso a sus propios archivos. No es el primer caso.

La frase es vieja y antológica: si quieres tener mucho dinero, mejor que robar un banco es fundar uno. Ironías aparte, eso es pensar “fuera de la caja”. Lo mismo hicieron los hackers que el 5 de febrero pasado decidieron que mejor que secuestrar a un paciente y pedir un rescate, era secuestrar las historias clínicas de miles de ellos y… pedir un rescate. Quizás entusiasmados por unas de las tantas películas en que Hollywood muestra a los hackers como una versión contemporánea de eso pistoleros ambiguos, oscilando entre el bien y el mal, eligieron como víctima a un centro médico del mismo Hollywood: nada menos que Hollywood Presbyterian Medical Center, donde 434 camas generan trabajo para más de 500 médicos.

Y tuvieron éxito.

En una declaración emitida el mismo día del “secuestro”, las autoridades hospitalarias reconocieron que no podían acceder a los archivos de sus pacientes internos y externos. Por lo tanto “en nuestro departamento de TI se inició de inmediato una investigación y la cual determinó que había sido objeto de un ataque de malware. El malware bloqueó el acceso a ciertos sistemas informáticos y no nos permitió el intercambio de comunicaciones por vía electrónica”. A poco andar se dieron cuenta que no era un hackeo adolescente que se premia a sí mismo sólo con haber logrado irritar y hacer sentir impotentes a sus mayores. No, alguien pedía un “rescate” y el hospital no tuvo más remedio que pagarlo. Sin embargo, como los hackers habían visto tantas superproducciones (en que el investigador honrado logra la confidencia de uno de los delincuentes, agonizante o renegado, quien le dice: “¿quiere llegar al responsable? Busque the smoking gun. Siga la ruta del dinero”) no pidieron billetes con números de serie, sino bitcoins.

Más tarde el hospital negó haber pagado US$ 3,4 millones (o 9.000 bitcoins). “La cantidad pedida de rescate fue de 40 bitcoins, el equivalente a US$ 17.000”, indicaron sus autoridades. El diario Los Angeles Times puso el dedo en la llaga al decir que, en realidad, la cifra era muy menor en comparación a la facturación anual de US$ 209 millones del nosocomio, pero que la señal era poderosa: los “malos” se habían salido con la suya. Y, al parecer, lo hacen con cierta regularidad. A raíz de este caso se recordó que, hace dos años, un hospital de Tennesse sufrió otro cyberataque el cual le dio acceso a los hackers a los registros de 4,5 millones de pacientes. Y, más allá del campo de la salud, hasta algún cuerpo policial ha perdido la libertad de consultar sus archivos.

La situación todavía tiene, hay que decirlo, un aroma a broma pesada que no pasa a mayores. O por sus todavía bajos niveles de ocurrencia. O porque son disrupciones que se solucionan con rapidez, si la billetera está bien dispuesta. Es decir, las flechas sobre este talón de Aquiles de la administración hospitalaria y el promocionado m-Health han sido más bien alfileres. Veremos que pasa el día en que caiga una lanza.