Dameff C, Tully J, Chan TC, et al. Ransomware attack associated with disruptions at adjacent emergency departments in the US. JAMA Netw Open. 2023;6(5):e2312270.
Los ciberataques a organizaciones sanitarias se han tratado, durante años, como incidentes técnicos. Incómodos, pero gestionables desde los servicios de informática y con efectos transitorios sobre la actividad asistencial.
El estudio de Dameff et al., recomienda abandonar esa perspectiva complaciente. Su principal aportación no es mostrar como un ataque ransomware interrumpe la actividad del centro atacado, algo que sabíamos, sino mostrar (con evidencia empírica) sus efectos más allá del perímetro de la organización afectada. Como alcanza a los centros vecinos, alterando la atención en todo el territorio circundante.
Externalidades negativas de los ciberataques
El trabajo analiza un ataque ransomware prolongado que dejó inoperativo durante semanas a un hospital estadounidense. Aprovechando esta “interrupción natural”, los autores analizan la actividad de dos servicios de urgencias cercanos no atacados, antes, durante y después del incidente.
Dichos servicios aumentaron su volumen de pacientes, las llegadas en ambulancia, los tiempos de espera, la estancia total en urgencias y el número de pacientes que abandonaron el centro sin ser atendidos. Indicadores sensibles, como los relacionados con la atención al ictus, también se deterioraron durante el periodo del ataque al centro directamente afectado.
El estudio muestra que el ataque no produjo un simple problema de redistribución logística de pacientes en un entorno, sino una pérdida real de capacidad asistencial efectiva en el conjunto del territorio.
Estos resultados introducen una idea poco integrada en la gestión sanitaria: los ciberataques generan externalidades territoriales negativas. La vulnerabilidad no es solo del centro que ve bloqueados sus servidores, sino del conjunto del sistema que comparte flujos de pacientes y recursos críticos, una idea que ya se apuntaba tras el ataque WannaCry al NHS británico.
Evidencia acumulada, impacto infravalorado y crisis de capacidad
Algunos estudios indican que los ataques ransomware a organizaciones sanitarias son cada vez más frecuentes, afectan a entidades de mayor tamaño y se asocian con cancelaciones, retrasos y desvíos de ambulancias, aunque la mayor parte de esta evidencia se apoya en fuentes administrativas (de notificación a las agencias de ciberseguridad), con limitada información sobre duración, gravedad clínica o impacto real en los pacientes.
Mientras sabemos que los ataques crecen en número y sofisticación, seguimos infraestimando sus consecuencias asistenciales, especialmente cuando estas se manifiestan fuera del foco mediático o en atención primaria.
El trabajo de Dameff et al., invita a repensar el marco conceptual desde el que se abordaban estos ataques. Si pueden empeorar los tiempos de atención en urgencias o retrasar el manejo del ictus en hospitales no afectados directamente, resulta difícil seguir pensando que son sólo un incidente tecnológico. Se parecen mucho más a una crisis sanitaria (de origen digital) con mecanismos de propagación comparables a los de una crisis de capacidad clásica.
De la ciberseguridad a la resiliencia frente a los ataques
El interés de este enfoque hacia la externalidades negativas conecta con episodios recientes que han puesto de relieve la fragilidad sistémica de las infraestructuras digitales. Ataques dirigidos a intermediarios críticos del sistema sanitario, como plataformas de procesamiento de pagos o servicios centrales de información, han paralizado amplias zonas del sistema sin tocar directamente a los proveedores de atención.
La dependencia creciente de infraestructuras digitales compartidas ha creado un ecosistema eficiente, pero frágil, donde la caída de un nodo relevante puede desencadenar efectos en cascada difíciles de contener. El problema ya no es solo técnico, sino de gobernanza del riesgo sistémico.
Aunque buena parte de la evidencia publicada procede de Estados Unidos o del Reino Unido, el problema no es ajeno al contexto español. El ataque ransomware sufrido por el Hospital Clínic de Barcelona en 2023 obligó a suspender actividad programada, limitar la atención urgente y reorganizar recursos durante semanas. No ha sido el único en nuestro país. Nuestro notable desarrollo en historias clínicas electrónicas únicas, plataformas regionales de laboratorio, prescripción y dispensación electrónica o servicios centralizados de imagen, han mejorado la integración y la eficiencia, pero también han aumentado la exposición a fallos a gran escala.
Los ciberataques sanitarios no interrumpen únicamente servidores: redistribuyen pacientes, degradan la atención urgente y erosionan la capacidad asistencial del conjunto del sistema. Y la pregunta no es si ocurrirán, sino si los sistemas sanitarios están dispuestos a reconocerlos, prevenirlos y, en su caso, gestionarlos como una amenaza emergente para la seguridad clínica individual y colectiva.
Lo que enseña el estudio de Dameff et al., es que pensar que cada organización puede protegerse de forma aislada es una ilusión. Los planes de contingencia deben diseñarse y evaluarse agregando el nivel territorial e incorporando en los planes de emergencia escenarios en que el ciberataque se produce en hospitales o centros cercanos.
