Resumen
- Evento confirmado:Ascension detectó actividad inusual el 8 de mayo de 2024, luego describió el evento como un ataque de ransomware y dijo que las operaciones clínicas se vieron interrumpidas mientras los hospitales e instalaciones permanecieron abiertos bajo procedimientos de contingencia. Su página pública de incidentes señaló posteriormente que todos los sistemas afectados, las funciones clínicas y el acceso al EHR habían sido restaurados. (Página del evento de ciberseguridad de Ascension)
- Impacto en la continuidad de la atención:La propia actualización de Ascension del 9 de mayo indicó que los registros médicos electrónicos, MyChart, algunos sistemas telefónicos y los sistemas utilizados para ordenar pruebas, procedimientos y medicamentos no estaban disponibles. Se pausaron temporalmente algunos procedimientos, pruebas y citas electivas no urgentes, y varios hospitales estaban en desvío para servicios médicos de emergencia. (Actualización de interrupción de red de Ascension)
- Registro de datos:El 19 de diciembre de 2024, Ascension dijo que una revisión de datos completada encontró que la información personal de algunos pacientes actuales y anteriores, residentes de viviendas para personas mayores y empleados estaba involucrada. Indicó que los tipos de datos variaban y podían incluir información médica, de pago, de seguro, de identificación gubernamental y otra información personal, al tiempo que afirmó que no tenía evidencia de que los datos hubieran sido extraídos del EHR u otros sistemas clínicos. El portal de violaciones de la OCR de HHS es el listado público federal de grandes informes de violaciones de HIPAA. (Portal de violaciones de la OCR de HHS)
- Mapa de responsabilidad:Los actores criminales causaron el evento malicioso. Ascension controlaba el acceso a la red, el aislamiento del sistema clínico, la capacitación en procedimientos de contingencia, el orden de recuperación, la reconexión de socios, la comunicación con los pacientes, la revisión de datos y el soporte. Las agencias públicas controlaban la aplicación de la ley, la inteligencia cibernética, la supervisión de violaciones de HIPAA y la orientación sectorial. Los pacientes y los médicos solo controlaron pasos de contingencia limitados y estresantes después de que la interrupción del sistema llegara a la cabecera del paciente.
El ransomware llegó a la cabecera del paciente a través del flujo de trabajo
El incidente de Ascension es fácil de subestimar si se describe solo como un ataque de ransomware a un hospital. La mejor descripción es una prueba de continuidad en todo el sistema dentro de una red de atención. El ransomware no necesitó tocar un ventilador ni alterar una orden de medicación para afectar la atención. Solo tuvo que eliminar el acceso ordinario a los registros compartidos, los canales de pedidos, los portales de pacientes, los teléfonos, las vías de farmacia y los sistemas administrativos que los médicos utilizan para convertir la historia de un paciente en tratamiento.
La primera declaración pública de Ascension, el 9 de mayo de 2024, dijo que detectó actividad inusual en determinados sistemas de red tecnológicos el miércoles 8 de mayo y que creía que se debía a un evento de ciberseguridad. Señaló que el acceso a algunos sistemas se había interrumpido, las operaciones clínicas estaban perturbadas y los equipos de atención habían iniciado procedimientos entrenados para mantener la prestación de atención al paciente segura y con un impacto mínimo. Ascension también dijo que había contratado a Mandiant, notificado a las autoridades competentes y estaba investigando qué información, si es que alguna, se había visto afectada. (Aviso de Ascension del 9 de mayo)
La página del evento posterior es más directa. Dice que el 8 de mayo Ascension experimentó un ataque de ransomware y que, desde entonces, había restaurado todos los sistemas afectados, las funciones clínicas y el acceso al EHR. Esa redacción posterior importa porque traslada el evento de un incidente de ciberseguridad sospechoso a un ataque de ransomware confirmado, al mismo tiempo que define el punto final de recuperación reclamado por la empresa. (Página del evento de ciberseguridad de Ascension)
El problema de continuidad comenzó en la brecha entre esos dos estados: después de que los sistemas se interrumpieron y antes de que se pudiera confiar en la restauración completa. Durante esa brecha, los hospitales e instalaciones de Ascension permanecieron abiertos, pero "abierto" no significaba normal. Un hospital puede permanecer abierto mientras el historial médico es inaccesible, mientras los pedidos deben enrutarse manualmente, mientras las recetas requieren verificación adicional, mientras los mensajes del portal se acumulan, mientras el personal lleva papel y mientras los servicios de emergencia se desvían en algunos sitios para mantener el triaje seguro. Eso no es un inconveniente de comunicaciones. Es un modo operativo diferente.
El registro público también debe evitar el melodrama. Ascension no dijo que toda la atención se detuviera. Dijo lo contrario: la atención continuó bajo protocolos de contingencia. El problema de responsabilidad, por lo tanto, no es el colapso. Es la atención en modo degradado. ¿Tenía el sistema de salud procedimientos de contingencia realistas? ¿Tenía el personal suficiente capacitación y suministros? ¿Se proporcionó información clara sobre el estado a los hospitales regionales? ¿Sabían las ambulancias a dónde ir? ¿Podían las farmacias dispensar medicamentos crónicos? ¿Se podían rastrear los pedidos de laboratorio e imágenes sin el sistema habitual? ¿Podía la empresa restaurar los sistemas sin volver a conectar infraestructura insegura? Esas preguntas son operativas, no retóricas.
"Abierto" no era lo mismo que atención normal
La actualización de Ascension del 9 de mayo a las 5:30 p.m. nombró varios sistemas no disponibles: registros médicos electrónicos, MyChart, algunos sistemas telefónicos y varios sistemas utilizados para ordenar ciertas pruebas, procedimientos y medicamentos. Pidió a los pacientes que llevaran notas de citas, listas de medicamentos, números de receta o frascos de recetas para que los equipos de atención pudieran comunicar las necesidades de medicamentos a las farmacias. Dijo que los procedimientos, pruebas y citas electivas no urgentes se habían pausado temporalmente en algunos casos, y que varios hospitales estaban en desvío para servicios médicos de emergencia debido a los procedimientos de contingencia. (Página del evento de ciberseguridad de Ascension)
Esa lista es el núcleo del caso. El tiempo de inactividad del EHR cambia la forma en que los médicos recuperan el historial, las alergias, los medicamentos, los laboratorios previos, las imágenes, las listas de problemas, las notas de alta y la opinión de especialistas. El tiempo de inactividad del portal cambia la forma en que los pacientes se comunican con los proveedores y ven los resultados. La interrupción del sistema telefónico cambia la programación de citas, el triaje de entrada, las solicitudes de renovación de recetas y el seguimiento. La interrupción del sistema de pedidos cambia la forma en que los laboratorios, las imágenes, los medicamentos y los procedimientos pasan de la intención del médico a la acción completada. El desvío de ambulancias cambia la asignación regional de la capacidad de emergencia.
Associated Press informó que el ataque provocó desvíos de ambulancias, pruebas pospuestas y registros de pacientes fuera de línea en un sistema que opera aproximadamente 140 hospitales en 19 estados. AP también informó que tanto los registros electrónicos como MyChart se vieron afectados y que el personal volvió a los registros manuales en papel. (Informe de AP sobre la interrupción de la atención de Ascension) Ese reportaje encaja con las propias declaraciones de Ascension, pero la fuente oficial sigue siendo la página de la empresa sobre lo que la propia Ascension confirmó.
La diferencia entre abierto y normal tiene consecuencias para los pacientes. Un paciente con dolor no experimenta un procedimiento de contingencia como un evento técnico. Experimenta esperas más largas, preguntas repetidas, incertidumbre sobre si los registros antiguos son visibles, incertidumbre sobre si una orden de prueba se ha movido y preocupación de que el equipo de atención esté trabajando sin el contexto habitual. Un médico puede mantener la atención segura mediante la capacitación y el juicio, pero el margen es más estrecho porque el sistema de registros ya no realiza su trabajo de coordinación ordinario.
Es por eso que la palabra "continuidad" debe incluir la calidad de la continuidad. Un hospital puede mantener las puertas abiertas y aún preguntarse si la conciliación de medicamentos se ralentizó, si el tiempo de respuesta del laboratorio cambió, si la programación quirúrgica se interrumpió, si los ingresos y traslados se hicieron más difíciles, si los pacientes dados de alta pudieron obtener recetas y si los pacientes con transporte limitado o dominio limitado del inglés tuvieron más dificultades para navegar la atención reprogramada. El registro público no responde a todas esas preguntas, pero demuestra que eran las preguntas correctas.
Los procedimientos de contingencia eran el control de seguridad oculto
Ascension dijo que su personal estaba capacitado en protocolos y procedimientos de contingencia establecidos. Esa declaración es importante porque los procedimientos de contingencia no son una carpeta de respaldo en un armario. Son un control de seguridad que debe funcionar mientras los médicos están cansados, los pacientes están ansiosos, los teléfonos están ocupados y los gerentes esperan hechos técnicos incompletos.
En una interrupción del EHR, los procedimientos de contingencia deben definir cómo documentan los médicos, cómo se escriben las órdenes, cómo se verifican los medicamentos, cómo se verifican las alergias, cómo se etiquetan las muestras de laboratorio, cómo se rastrean las solicitudes de imágenes, cómo se reconcilian posteriormente las notas escritas a mano y cómo los equipos de atención evitan duplicar o perder información. El registro creado durante la interrupción debe eventualmente formar parte del registro médico permanente. Una nota en papel que nunca regresa al historial no es solo un problema de archivo. Puede afectar la atención futura.
Las actualizaciones de Ascension del 7 de junio y del 11 de junio muestran por qué la conciliación era importante. A medida que el acceso al EHR se restablecía en oleadas, Ascension advirtió que los registros médicos y otra información entre el 8 de mayo y la fecha de restauración local del EHR podrían no estar accesibles mientras se cargaba la información recopilada durante el tiempo de inactividad. Instruyó a los pacientes a comunicarse con el consultorio de su médico para conocer la disponibilidad de registros durante ese período y advirtió que los mensajes del portal podrían enfrentar ligeros retrasos. (Página del evento de ciberseguridad de Ascension)
Esa es una oración inusualmente reveladora. Muestra que la recuperación no se trataba solo de que los médicos volvieran al EHR. También se trataba de actualizar el EHR con la atención brindada mientras el EHR no estaba disponible. El registro de contingencia tuvo que ser recopilado, validado, ingresado o cargado y hecho accesible para búsquedas. Hasta que eso sucediera, el historial del paciente durante el período de interrupción estaba parcialmente fuera de la vista digital ordinaria.
Por lo tanto, una buena preparación para contingencias tiene dos mitades. La primera mitad es la atención manual segura durante la interrupción. La segunda mitad es la reintegración limpia posterior. La segunda mitad suele ser menos visible porque el público ve que los inicios de sesión regresan y asume que la recuperación está completa. En el cuidado de la salud, esa suposición es peligrosa. La recuperación se completa solo cuando el sistema de registros refleja con precisión lo que sucedió durante el modo degradado, y cuando los médicos pueden confiar en que el registro restaurado es lo suficientemente completo para futuras decisiones.
La restauración del EHR era una prioridad clínica, no solo un hito de TI
Ascension enmarcó repetidamente la restauración del EHR como una prioridad máxima de recuperación. El 29 de mayo dijo que el acceso al EHR se había restablecido en el primer mercado y que un plan escalonado estaba activo. El 4 de junio dijo que los mercados de Florida, Alabama y Austin tenían el acceso al EHR restaurado. El 5 de junio añadió Tennessee, Maryland y el centro de Texas. El 7 de junio añadió Oklahoma y dijo que el objetivo era la restauración del EHR en todo el ministerio para el 14 de junio. El 11 de junio enumeró Florida, Alabama, Tennessee, Maryland, el centro de Texas, Oklahoma, Wisconsin, Illinois, Kansas, parte de Michigan y parte de Indiana, mientras seguía trabajando para completar la restauración para el 14 de junio. (Página del evento de ciberseguridad de Ascension)
Esa secuencia de restauración debe leerse como gobernanza clínica. El acceso al EHR no es solo una conveniencia digital. Es la memoria compartida del sistema de atención. Restaurarlo primero es una declaración sobre lo que la organización consideró más necesario para una atención segura. Pero la restauración por etapas también crea preguntas de responsabilidad. ¿Qué mercados se restauraron primero y por qué? ¿Se basó la secuencia en la preparación técnica, la agudeza clínica, el volumen de pacientes, la capacidad alternativa regional, las dependencias del sistema o la confianza forense? ¿Cómo se informó a los pacientes y servicios de ambulancia sobre qué sitios locales estaban en qué estado?
El registro público solo da una parte de la respuesta. Muestra una secuencia escalonada y un objetivo. No publica las reglas de decisión detrás de la secuencia. Eso es comprensible durante un incidente en vivo. También es una brecha de evidencia posterior al incidente. Un sistema nacional de salud debería poder mostrar a los reguladores y a los órganos de gobierno interno por qué el orden de restauración coincidía con el riesgo clínico.
El lenguaje de restauración también muestra la tensión entre velocidad y seguridad. Ascension dijo repetidamente que los sistemas se restaurarían de manera segura y protegida, después de validación y filtrado. Ese es el estándar correcto. Volver a conectar un sistema no validado porque el hospital lo necesita puede empeorar el ataque. Esperar demasiado puede prolongar la interrupción clínica. La decisión responsable se sitúa entre esas presiones.
Para eventos futuros, la práctica pública más sólida sería una matriz de restauración clínica. No necesitaría revelar diagramas de red. Podría identificar los estados del servicio: EHR no disponible, EHR solo lectura, EHR restaurado para nueva documentación, registros de contingencia pendientes de carga, portal disponible, transmisión de farmacia restaurada, pedidos de pruebas restaurados, sistemas telefónicos restaurados, conexiones de socios validadas. Los pacientes y los médicos necesitan el estado del servicio, no la regla del firewall.
La continuidad de la farmacia fue una prueba práctica de atención
El acceso a los medicamentos fue uno de los ejemplos más claros de cómo el ransomware sale del centro de datos y entra en la vida diaria. Ascension pidió a los pacientes que llevaran frascos de recetas, números de receta y listas de medicamentos para que los equipos de atención pudieran comunicar las necesidades de medicamentos a las farmacias. Más tarde, Ascension dijo que los sitios de farmacia minorista, entrega a domicilio y farmacia especializada de Ascension Rx estaban abiertos y podían satisfacer las necesidades de recetas, y que los proveedores de atención médica podían transmitir recetas electrónicamente a las farmacias de Ascension Rx. (Página del evento de ciberseguridad de Ascension)
Esa secuencia importa porque la continuidad de la farmacia no es opcional. Para los medicamentos crónicos, un retraso puede crear consecuencias para la salud. Para antibióticos, anticoagulantes, insulina, medicamentos para convulsiones, medicamentos para trasplantes, medicamentos psiquiátricos o control del dolor después de un procedimiento, la fricción en el flujo de trabajo puede convertirse en riesgo clínico. Un equipo de atención puede llamar a una farmacia manualmente, pero la vía manual requiere conocimiento actualizado de los medicamentos, identidad correcta del paciente, dosificación clara, manejo del seguro o pago, verificación del farmacéutico y una forma de documentar lo que se hizo.
Spectrum News informó desde Wisconsin sobre farmacias locales que lidiaban con el ciberataque de Ascension y la necesidad de mantener a los pacientes con medicamentos crónicos. (Informe de farmacia de Spectrum News) Esa perspectiva local es útil porque la interrupción de la farmacia a menudo está dispersa. No siempre aparece como una falla dramática del hospital. Aparece como un paciente, un farmacéutico y un prescriptor que intentan reconstruir suficiente información para mantener la terapia.
Por lo tanto, la planificación de contingencias de medicamentos debe tratarse como un control de seguridad del paciente. El plan debe definir qué listas de medicamentos se pueden acceder sin conexión, cómo se verifican las alergias, cómo se manejan los flujos de trabajo de sustancias controladas, cómo se autorizan las renovaciones de recetas, cómo se priorizan las necesidades urgentes de medicamentos y cómo se reconcilia la prescripción manual con el EHR después de la restauración. También debe definir qué se les dice a los pacientes. Pedir a los pacientes que lleven frascos de medicamentos es sensato, pero también transfiere el trabajo a personas que pueden estar enfermas, ser ancianas, estar asustadas, tener bajos ingresos, carecer de transporte o no tener recetas perfectamente organizadas.
El registro público muestra que Ascension reconoció el problema de la farmacia. La pregunta de responsabilidad pendiente es cuán uniformemente funcionaron esas soluciones alternativas en todos los estados y sitios de atención.
La reconexión de socios era su propia superficie de riesgo
Las actualizaciones de Ascension del 21 y 24 de mayo identificaron otro problema de recuperación subestimado: los socios y proveedores tenían que volver a conectarse a la red. Ascension dijo que inició puntos de contacto regulares con socios y proveedores críticos para proporcionar información que ayudara a restaurar su conexión a la red de Ascension. El 24 de mayo, dijo que muchos proveedores y socios habían comenzado a reconectarse y reanudar los servicios, lo que debería acelerar la recuperación. (Página del evento de ciberseguridad de Ascension)
La reconexión de socios no es un detalle de programación. Es una decisión de seguridad y continuidad. Los hospitales dependen de laboratorios, proveedores de imágenes, farmacias, socios del ciclo de ingresos, proveedores de dispositivos, sistemas en la nube, proveedores de servicios especializados, socios de ambulancias, sistemas de personal, proveedores y organizaciones de apoyo. Una respuesta de ransomware puede requerir desconectar o limitar esos enlaces. La recuperación luego requiere decidir qué enlaces son seguros para restaurar, en qué orden, bajo qué monitoreo y con qué evidencia de cada lado.
Ahí es donde se encuentran la continuidad del sector público y la localidad de los datos. Los datos de atención médica no se guardan en un solo lugar ordenado. Fluyen a través de sistemas clínicos, servidores de archivos, portales de pacientes, flujos de trabajo de facturación, interfaces de laboratorio, vías de farmacia, canales de aseguradoras y entornos de proveedores. Ascension dijo más tarde que los atacantes tomaron archivos de siete de aproximadamente 25,000 servidores, utilizados principalmente por asociados para tareas diarias y rutinarias, y que algunos archivos pueden contener PHI y PII. También dijo que no tenía evidencia de que se hubieran tomado datos del EHR y otros sistemas clínicos. (Página del evento de ciberseguridad de Ascension)
Esas declaraciones trazan un límite útil, pero también destacan por qué la localidad del acceso importa más que la localidad física. Un registro puede estar legalmente en posesión de un sistema de salud sin fines de lucro de EE. UU. y aún así quedar expuesto si es accesible a través de un flujo de trabajo comprometido, un servidor de archivos de rutina o una ruta de socio. La soberanía de los datos en la atención médica no es solo dónde residen los datos; es quién puede tocarlos, copiarlos, transmitirlos, exportarlos, verlos o volver a conectarse a ellos después de una violación.
La evidencia posterior al incidente que importa, por lo tanto, no es solo "sistemas restaurados". Es "conexiones restauradas con validación". Un sistema de salud debería poder demostrar que la reconexión de socios no reintrodujo credenciales comprometidas, relaciones de confianza obsoletas, acceso remoto no revisado o rutas de datos no monitoreadas.
La violación de datos no fue lo mismo que la interrupción clínica
La actualización del 19 de diciembre de Ascension completó una parte diferente del registro. Después de trabajar con expertos externos para revisar los datos potencialmente involucrados, Ascension dijo que comenzaría a notificar a las personas cuya información personal estaba involucrada y ofrecería servicios gratuitos de monitoreo de crédito y protección de identidad. Dijo que la información podría incluir información médica como número de registro médico, fecha de servicio, tipos de pruebas de laboratorio o códigos de procedimiento; información de pago; información de seguro; identificación gubernamental; y otra información personal como fecha de nacimiento o dirección. (Página del evento de ciberseguridad de Ascension)
Este registro de datos no debe colapsarse con el registro de continuidad de la atención. La interrupción ocurrió en mayo y junio. La notificación de datos se desarrolló durante meses, después de la revisión de archivos. Ambos son consecuencias del mismo ataque, pero crean deberes diferentes. Una interrupción clínica requiere atención de respaldo inmediata, decisiones de desvío, controles de seguridad, comunicación con el paciente y restauración. Una violación de datos requiere análisis de población, mapeo de campos, notificación legal, soporte de identidad, informes al regulador y vigilancia a largo plazo contra estafas.
La página de la Regla de Notificación de Violaciones de HHS explica el marco de notificación federal para información de salud protegida no segura, incluidas las obligaciones de tiempo para violaciones que afectan a 500 o más individuos. (Regla de Notificación de Violaciones de HHS) HHS también publica orientación sobre cómo presentar una notificación al Secretario. (Página de informes de violaciones de HHS) El portal público de violaciones de la OCR enumera los grandes informes de violaciones bajo investigación. (Portal de violaciones de la OCR de HHS)
El límite en la declaración de Ascension es importante: los datos de los pacientes estaban involucrados, pero Ascension dijo que no había evidencia de que los datos hubieran sido extraídos del EHR y otros sistemas clínicos donde se almacenan los registros completos de los pacientes. Esa es una garantía significativa, no una eliminación completa del daño. Una fecha de servicio, tipo de prueba de laboratorio, código de procedimiento, número de seguro o identificador gubernamental aún pueden ser sensibles. El hecho de que no se haya demostrado que los registros completos del EHR hayan sido tomados, según el registro público de Ascension, no hace que los datos de los servidores de archivos de rutina sean inofensivos.
Tampoco prueba que cada persona afectada haya experimentado el mismo riesgo. Ascension dijo que los datos variaban según el individuo y no podían confirmarse para cada individuo en la declaración pública genérica. Un buen registro de notificación debería dar a cada persona las categorías de campo más específicas disponibles y los pasos de soporte. Los grandes sistemas de salud no deberían depender de una sola lista amplia cuando el riesgo individual difiere según el tipo de datos.
Los informes estatales y comerciales muestran cómo el registro de privacidad se convirtió en un registro de protección al consumidor. La Fiscal General de Michigan, Dana Nessel, alentó a los pacientes y asociados de Ascension a considerar el monitoreo de crédito gratuito después de que Ascension advirtiera que parte de la información personal podría haber estado involucrada. (Aviso de la Fiscal General de Michigan) Healthcare Dive informó más tarde que la escala federal de la violación fue de 5.6 millones de personas en el contexto de notificación pública de violaciones. (Informe de violación de Healthcare Dive) Esas fuentes no reemplazan el aviso de Ascension ni el portal de HHS, pero muestran que las consecuencias de privacidad del incidente permanecieron activas después de la restauración clínica.
La explicación del archivo malicioso no es el final de la responsabilidad
El 12 de junio, Ascension dijo que había identificado cómo el atacante obtuvo acceso: un individuo que trabajaba en una de sus instalaciones descargó accidentalmente un archivo malicioso que pensó que era legítimo. Ascension dijo que no tenía razones para creer que esto fuera otra cosa que un error honesto. (Página del evento de ciberseguridad de Ascension)
Ese es un hecho útil, pero no debe convertirse en un final conveniente. La seguridad moderna debería asumir que algunos empleados harán clic. Los controles responsables son lo que sucede antes y después del clic: seguridad del correo electrónico, aislamiento del navegador, detonación de archivos adjuntos, detección de puntos finales, privilegios mínimos, control de aplicaciones, segmentación, detección de movimiento lateral, controles de acceso al servidor de archivos, aislamiento de copias de seguridad, respuesta a incidentes y preparación para el tiempo de inactividad clínica.
La página de la Regla de Seguridad de HHS establece el estándar de la regla en términos generales: se requieren salvaguardas administrativas, físicas y técnicas para proteger la confidencialidad, integridad y disponibilidad de la información de salud electrónica protegida. (Regla de Seguridad de HHS) HHS también mantiene material de orientación sobre ciberseguridad para entidades cubiertas por HIPAA y asociados comerciales. (Material de orientación de ciberseguridad de HHS) La Guía StopRansomware de CISA también enfatiza la preparación, prevención, planificación de respuesta, copias de seguridad y comunicaciones. (Guía StopRansomware de CISA)
Ninguna de esas fuentes generales es una conclusión de que Ascension violó una regla. Definen las categorías de control que importan. El principio central de responsabilidad es que una sola descarga accidental no debería permitirse que se convierta en una interrupción clínica en todo el sistema si existen capas razonables para limitar el radio de explosión. Si se convierte en algo sistémico, la organización debe poder explicar por qué, qué falló, qué funcionó y qué cambió.
El lenguaje de "error honesto" es humano. Evita culpar a un trabajador individual. Pero el lenguaje humano debe ir acompañado de un aprendizaje organizacional. Culpar a un trabajador es una responsabilidad débil. Tratar la acción del trabajador como una señal en un sistema de control más amplio es más fuerte.
La recuperación financiera no midió la carga del paciente
Las divulgaciones financieras de Ascension muestran que el evento tuvo consecuencias operativas más allá de la página del incidente. En septiembre de 2024, Ascension dijo que las operaciones de mayo y junio se vieron afectadas por el incidente de ciberseguridad, lo que resultó en ingresos reducidos por interrupción del negocio y costos para remediar problemas y otros gastos comerciales. También dijo que el balance y los niveles de liquidez se mantenían sólidos, con suficiente liquidez para continuar brindando atención. (Resultados financieros del cuarto trimestre del año fiscal 2024 de Ascension)
En febrero de 2025, Ascension dijo que las operaciones del cuarto trimestre del año fiscal 2024 se habían visto afectadas por el ciberataque de mayo, pero la recuperación del volumen del año fiscal 2025 había continuado y el volumen de pacientes en las mismas instalaciones había mejorado entre un 5 y un 6 por ciento desde el evento cibernético, con indicadores clave de rendimiento operativo volviendo al estado normal de operaciones. (Resultados financieros del segundo trimestre del año fiscal 2025 de Ascension)
Esas declaraciones son útiles para la resiliencia organizacional, pero no son un relato completo del daño al paciente. La recuperación de ingresos y la recuperación de volumen pueden coexistir con citas retrasadas, frustración del paciente, estrés en la farmacia, horas extras de los médicos, desvíos locales, historiales médicos repetidos, documentación manual y pérdida de confianza. Un sistema puede recuperarse financieramente mientras algunos pacientes aún recuerdan el día en que sus registros no estaban disponibles.
El registro de responsabilidad sería más sólido si los informes posteriores al incidente separaran al menos cuatro medidas de recuperación. Primero, restauración técnica: qué sistemas estaban limpios y disponibles. Segundo, restauración clínica: qué funciones de atención volvieron al flujo de trabajo ordinario. Tercero, restauración de registros: cómo se reconcilió la documentación del tiempo de inactividad. Cuarto, apoyo al paciente: qué retrasos, desvíos, reprogramaciones y avisos de datos requirieron seguimiento.
Las páginas financieras de Ascension muestran una gran organización absorbiendo el evento. No muestran la distribución completa de las molestias y el riesgo entre pacientes, médicos, farmacias, servicios de ambulancia y comunidades locales. Eso no es un defecto exclusivo de Ascension. Es un problema más amplio en los informes de incidentes cibernéticos: los balances son más fáciles de resumir que la fricción en la atención.
El sector trató el ransomware hospitalario como una función pública
Ascension dijo que notificó a las fuerzas del orden y a los socios gubernamentales, incluidos el FBI, CISA, HHS y la American Hospital Association, y compartió inteligencia de amenazas relevante con H-ISAC para que los socios de la industria y sus pares pudieran protegerse. (Página del evento de ciberseguridad de Ascension) Ese marco multiagencial importa porque un evento de ransomware en un hospital no es solo un asunto privado entre una víctima y un atacante.
Los hospitales son parte de la capacidad regional de emergencia. Cuando varios hospitales entran en procedimientos de contingencia o desvío, los hospitales circundantes, las agencias de EMS, las autoridades de salud pública y los pacientes sienten el cambio. Esto es continuidad del sector público en la práctica. El gobierno no ejecuta el EHR de Ascension, pero el gobierno tiene interés en que la atención de emergencia, las advertencias públicas, la aplicación de la ley, la inteligencia de amenazas y la supervisión de HIPAA sigan funcionando cuando un gran sistema de salud se ve interrumpido.
El trabajo de ciberseguridad de la American Hospital Association ha enmarcado repetidamente el ransomware contra hospitales como un problema de seguridad del paciente. Su página de ciberseguridad destaca la preparación para la ciberresiliencia para hospitales y sistemas de salud. (Centro de recursos de ciberseguridad de AHA) AHA también resumió una discusión del Consejo de Seguridad de las Naciones Unidas en la que el presidente de Ascension compartió que el ataque de mayo interrumpió las operaciones en los hospitales de Ascension, encriptó miles de sistemas informáticos e hizo que los registros de salud electrónicos fueran inaccesibles. (Resumen de ransomware del Consejo de Seguridad de la ONU de AHA)
Esas fuentes sectoriales deben usarse con cuidado. No reemplazan la cronología del incidente de la propia Ascension. Sí muestran que la ciberresiliencia hospitalaria ahora es parte de la conversación sobre seguridad nacional, salud pública y gestión de emergencias. Cuanto más se digitaliza la atención médica, menos creíble es tratar el ransomware como un asunto de TI administrativo.
Los pacientes tenían un control limitado y una alta exposición
Las instrucciones de Ascension a los pacientes fueron prácticas: llevar síntomas, listas de medicamentos, números de receta o frascos; estar atentos a las actualizaciones; usar el monitoreo de crédito si estaban preocupados; comunicarse con los consultorios médicos para conocer la disponibilidad de registros durante el tiempo de inactividad; llamar al 911 en emergencias. Esos pasos ayudaron a las personas a navegar una situación difícil. También muestran el desequilibrio.
Los pacientes podían llevar frascos. No podían restaurar el EHR. Podían repetir su historial médico. No podían saber si una nota anterior era visible. Podían aceptar la reprogramación. No podían elegir el orden de restauración. Podían inscribirse en el monitoreo de crédito. No podían dejar de exponer un código de procedimiento, número de seguro o fecha de servicio. Podían estar atentos a las estafas. No podían conocer todos los lugares donde sus datos podrían ser copiados.
Este desequilibrio es la razón por la cual el lenguaje de vigilancia nunca debe sustituir la responsabilidad organizacional. Es apropiado decirles a los pacientes qué hacer. Es insuficiente insinuar que la acción del paciente puede compensar los controles faltantes. En la atención médica, la persona más expuesta al daño posterior es a menudo la que tiene menos poder operativo.
La dimensión de vulnerabilidad es especialmente importante porque la misión de Ascension enfatiza la atención a las personas pobres y vulnerables, y sus recursos de medios describen un gran sistema con visitas a la sala de emergencias, nacimientos, cirugías, altas y programas de beneficios comunitarios. (Recursos de medios de Ascension) Una interrupción por ransomware no afecta a todos por igual. Los pacientes sin transporte, sin licencia paga, con enfermedades crónicas, con vivienda inestable, con barreras lingüísticas, con necesidades de salud mental o con regímenes de medicación complejos tienen menos margen para la fricción.
Por lo tanto, un plan de continuidad responsable debe medir la carga impuesta a los pacientes. ¿Cuántas citas se pausaron o reprogramaron? ¿Cuántos pacientes necesitaron apoyo alternativo para medicamentos? ¿Qué idiomas se utilizaron en los avisos? ¿Cómo se contactó a los pacientes sin acceso confiable a Internet o teléfono? ¿Cómo se coordinaron los desvíos de emergencia con los EMS locales? ¿Cómo se reconcilió la documentación del tiempo de inactividad para los pacientes que necesitaban atención continua? Estas preguntas definen la responsabilidad a la cabecera del paciente mejor que una sola fecha de restauración.
La soberanía de los datos se trataba de accesibilidad
El tema manifiesto "Soberanía y localidad de los datos" no es una cuestión limitada a dónde se encontraban físicamente los servidores. El caso de Ascension muestra la pregunta de atención médica más relevante: ¿a qué datos se podía acceder a través de qué rutas de acceso durante el trabajo ordinario?
Ascension dijo que los atacantes tomaron archivos de siete de aproximadamente 25,000 servidores utilizados principalmente por asociados para tareas diarias y rutinarias. También dijo que esos archivos podían incluir PHI y PII. Esa combinación es reveladora. Los datos confidenciales pueden residir en espacios de trabajo rutinarios, exportaciones, archivos adjuntos, carpetas compartidas, colas de trabajo, archivos de informes, documentos escaneados y almacenes operativos temporales. El EHR puede ser el registro completo del paciente, pero no es el único lugar donde aparece la información del paciente.
La página actual de Ascension One describe una experiencia digital del paciente para pagar facturas, ver resultados de pruebas y laboratorios, mantenerse conectado con los médicos y programar y administrar citas familiares. (Ascension One) Ese lenguaje de producto público no es una fuente del incidente. Ayuda a los lectores a comprender la expectativa ordinaria: los pacientes y los médicos ahora experimentan la atención a través de cuentas conectadas, portales, registros y flujos de trabajo. Cuando la respuesta al ransomware deshabilita partes de ese ecosistema, la localidad se vuelve funcional. Los datos y la atención son locales al sistema que puede acceder a ellos en el momento en que se necesitan.
Siguen preguntas sobre la minimización de datos y la gobernanza del acceso. ¿Por qué los servidores de archivos de rutina contenían los campos que contenían? ¿Las exportaciones confidenciales tenían límite de tiempo? ¿Se clasificaban y monitoreaban los archivos? ¿Los servidores de asociados de rutina estaban segmentados de los sistemas clínicos? ¿Los archivos descargados estaban restringidos por controles de puntos finales? ¿Se archivaban o eliminaban los archivos rutinarios más antiguos? ¿Eran suficientemente estrechas las rutas de acceso de los socios? El registro público no responde a esas preguntas; las hace necesarias.
La lección correcta no es que los sistemas de EHR nunca deban conectarse a otros sistemas. La atención médica no puede funcionar de esa manera. La lección es que cada copia secundaria de los datos del paciente se convierte en parte del radio de explosión clínico y de privacidad.
Cómo sería una mejor evidencia
Un registro público maduro posterior al incidente para un sistema de salud debería responder varias preguntas sin publicar detalles de seguridad confidenciales.
Primero, debería proporcionar una línea de tiempo del estado del servicio. Debería identificar cuándo cambió el acceso al EHR, el acceso al portal, los sistemas telefónicos, los pedidos de medicamentos, los pedidos de laboratorio, la programación de procedimientos, la transmisión de farmacia, los sistemas de facturación, las conexiones de socios y el estado de desvío regional. La página del evento de Ascension proporcionó muchas actualizaciones, pero una línea de tiempo consolidada facilitaría la auditoría del registro.
Segundo, debería proporcionar un relato del tiempo de inactividad clínica. Ese relato debería explicar qué procedimientos de contingencia se activaron, cómo se apoyó al personal, cómo se reconcilió la documentación manual, cómo se mantuvieron los controles de seguridad de medicamentos y laboratorio, y si se realizaron revisiones de seguridad específicas del incidente. No debería revelar eventos privados de pacientes, pero debería mostrar el sistema de control.
Tercero, debería proporcionar un mapa de datos por categoría. El aviso de diciembre de Ascension enumeró categorías posibles, pero el estándar más sólido es la notificación a nivel de campo cuando sea factible: el número de registro médico, la fecha de servicio, el código de procedimiento, el tipo de prueba de laboratorio, el identificador de seguro, el campo de pago, el identificador gubernamental, la dirección, la fecha de nacimiento y los datos del empleado no deberían mezclarse si se puede informar a cada persona de manera más específica.
Cuarto, debería explicar la ruta de acceso y la contención a alto nivel. La explicación del archivo malicioso es útil. Un registro completo añadiría los controles organizacionales modificados posteriormente, como el filtrado de correo electrónico, la política de puntos finales, la revisión del acceso al servidor de archivos, la segmentación, el registro, el aislamiento de copias de seguridad y los controles de acceso privilegiado, sin dar a los atacantes un manual.
Quinto, debería publicar medidas agregadas de impacto en el paciente: pausas de citas, reprogramaciones, duración del desvío por región, volumen de soluciones alternativas de farmacia, retraso en el portal y actividad de la línea de soporte. La divulgación pública puede preservar la privacidad y aún así ser significativa.
Finalmente, debería aclarar los problemas no resueltos. Si el litigio, la revisión del regulador o el riesgo de seguridad limitan el detalle, dígalo. Los pacientes pueden manejar mejor la incertidumbre cuando se nombran los límites.
La lección es la resiliencia a la cabecera del paciente
Ascension fue víctima de un delito. Ese hecho debe declararse claramente. Los actores criminales causaron el ataque de ransomware. Las fuerzas del orden y las agencias cibernéticas tienen el papel público de investigación, inteligencia y disuasión. No se debe esperar que ningún hospital derrote todos los intentos maliciosos sin incidentes.
Pero la responsabilidad de la atención médica no se detiene en la victimización. Un sistema de salud controla la arquitectura, la capacitación, los procedimientos de contingencia, las dependencias de socios, los almacenes de datos, la secuencia de recuperación y las comunicaciones con los pacientes que determinan si el ransomware se convierte en una interrupción manejable o en una disrupción a la cabecera del paciente. El registro público de Ascension muestra tanto resiliencia como tensión: los hospitales permanecieron abiertos, los médicos siguieron cuidando, la restauración del EHR fue priorizada, las farmacias volvieron a estar en línea, los sistemas finalmente fueron restaurados y se enviaron avisos. También muestra desvíos de emergencia, atención pausada, falta de acceso ordinario a los registros, integridad retrasada del portal, meses de análisis de datos y un impacto financiero significativo.
La lección duradera es que la recuperación del ransomware en la atención médica es una disciplina clínica. Pertenece a la supervisión de la junta directiva, a las operaciones de enfermería, al liderazgo de farmacia, a la gestión de emergencias, a la planificación del ciclo de ingresos, al cumplimiento de la privacidad, a la gobernanza de proveedores y a las comunicaciones con los pacientes, no solo a las operaciones de seguridad. El historial médico es parte de la atención. El sistema de pedidos es parte de la atención. El portal es parte de la atención. El paquete de contingencia es parte de la atención. Cuando esos sistemas fallan, la responsabilidad se mide por cuán seguramente la organización puede seguir tratando a las personas mientras demuestra que se puede volver a confiar en la base digital.

