Cerrar
jueves 30 de septiembre 2021

Un hospital hackeado y la muerte de un bebé: ¿el primer fallecimiento por un caso de ransomware?

Una mujer dio a luz en una clínica durante un secuestro de datos.

Teiranni Kidd entró al Springhill Medical Center de Alabama, Estados Unidos el 16 de julio de 2019 para tener a su bebé. Su hija, Nicko Silar, nació con el cordón umbilical alrededor de su cuello. Cuando se corta el suministro de sangre y oxígeno al feto, como en este caso, se generan señales de advertencia en el monitor cardíaco. Pero lo que no sabía la mujer es que ese día el hospital estaba inmerso en un ataque de ransomware, y menos ojos estaban posados en el monitor, que normalmente se registra en una pantalla grande en la estación de enfermeras, además del interior de la sala de partos.

Nicko fue diagnosticada con daño cerebral severo y murió nueve meses después.

Cuando Kidd parió a su hija, en la clínica desde hacía casi ocho días que las computadoras habían estado desactivadas en todos los pisos, y un rastreador inalámbrico en tiempo real que podía localizar al personal médico estaba caído. Tampoco se podía acceder a las historias clínicas de pacientes, y en el mostrador de enfermería en la unidad de trabajo de parto, el personal médico fue desconectado del equipo que monitorea los latidos del corazón fetal en las 12 salas.

Según reporta The Wall Street Journal, la obstetra a cargo, Katelyn Parnell, le envió un mensaje de texto a la enfermera encargada de que hubiera dado a luz al bebé por cesárea si hubiera visto la lectura del monitor. “Necesito que me ayudes a entender por qué no me notificaron”. En otro texto, la Dra. Parnell escribió: “Esto se podía prevenir”.

Como resultado de este evento, Kidd demandó a Springhill, alegando que la información sobre la condición del bebé nunca llegó a la Dr. Parnell porque el ataque borró la capa adicional de escrutinio que el monitor de frecuencia cardíaca habría recibido en la estación de enfermeras. Si se prueba en los tribunales, este caso marcará la primera muerte confirmada por un ataque de ransomware, que ocurre cuando un tipo de programa dañino restringe el acceso a determinadas partes o archivos del sistema operativo infectado y se pide un rescate a cambio de quitar esta restricción

Kidd presentó una demanda por negligencia médica en el Tribunal de Circuito del Condado de Mobile en enero de 2020, y la enmendó después de que su hija muriera en abril del año pasado. El juicio está programado para noviembre de 2022.

El hospital niega haber actuado mal. En una declaración enviada por correo electrónico a The Wall Street Journal, el director ejecutivo de Springhill, Jeffrey St. Clair, dijo que el hospital manejó el ataque de manera adecuada: “Permanecimos abiertos y nuestros dedicados trabajadores de la salud continuaron cuidando a nuestros pacientes porque los pacientes nos necesitaban y nosotros, junto con el los médicos tratantes independientes que ejercieron sus privilegios en el hospital, concluyeron que era seguro hacerlo“.

En un expediente judicial, la Dra. Parnell aseguró que estaba al tanto del ciberataque, pero que “creía que la Sra. Kidd podía dar a luz a su bebé en Springhill de manera segura”. El hospital argumentó que cualquier obligación de informar a Kidd sobre el hackeo recaía en la Dra. Parnell, quien aún no ha respondido a esa moción.

La firma de seguridad Recorded Future estima que hubo alrededor de 65.000 incidentes en todo el mundo el año pasado. Los hospitales se han convertido objetivos, ya que los piratas informáticos apuestan a que los ejecutivos pagarán rápidamente para restaurar la tecnología que salva vidas.

Springhill se negó a nombrar a los hackers que realizaron el atque, pero Allan Liska, un analista de inteligencia senior de Recorded Future, dijo que probablemente era la pandilla Ryuk con sede en Rusia que en junio atacó al menos 235 hospitales generales e instalaciones psiquiátricas, además de docenas de otras instalaciones médicas en los EEUU.

Lo cierto es que el hospital de Alabama se negó a pagar el rescate cuando los hackers atacaron el 8 de julio de 2019, y la cifra que pidió el grupo de piratas no fue revelada. La institución dijo que finalmente pudo volver a poner sus sistemas en servicio sin pagar el rescate, luego de unas tres semanas.

Según la demanda de Kidd, un ultrasonido una semana antes no había mostrado signos preocupantes del embarazo, pero un aumento en su presión arterial preocupó a los médicos lo suficiente como para programarla para ser inducida. Pero ella no sabía nada sobre el ataque cuando fue ingresada a Sugarhill, según alega.

La falta de monitoreo central de las salas de parto fue difícil de solucionar durante el hackeo. Normalmente, los signos vitales se mostraban en tiempo real en un monitor grande en la estación de enfermeras, que media docena de enfermeras y médicos siguen de cerca en busca de complicaciones, como patrones potencialmente preocupantes en la frecuencia cardíaca fetal. Pero esos monitores estaban apagados.

Para tratar de solucionar el tema, el personal de enfermería colocó a los pacientes en las habitaciones más cercanas a la estación de enfermeras y subió el volumen de sus monitores cardíacos fetales junto a la cama. Esos monitores también sacaron papel que mostraba la frecuencia de los latidos del corazón. El hospital dijo que las enfermeras recibieron instrucciones de permanecer en las habitaciones de sus pacientes o cerca de ellas en todo momento.

Aproximadamente una hora antes del nacimiento de la bebé de Kidd, la tira de papel del monitor registró señales claras de que el feto estaba en peligro. No se pudo determinar si la enfermera a cargo notó el aumento de la frecuencia cardíaca del bebé y, de ser así, cómo se interpretó. Lo que está claro es que la interrupción del ransomware dejó solo un par de ojos en el monitor.

La niña nació a las 11:23 a.m. sin responder, con el cordón umbilical alrededor de su cuello. Se invocó un “código azul”, que llevó a los trabajadores de la salud a resucitar a la bebé, que pronto fue trasladada a una unidad de cuidados intensivos neonatales en un hospital cercano. Tuvo que ser alimentada por vía intravenosa y requirió medicación “las 24 horas del día”, según la demanda. Le diagnosticaron daño cerebral significativo y murió nueve meses después. La Dra. Parnell escribió en un mensaje que, si hubiera sabido lo que la tira registró antes, habría practicado una cesárea.