Resumen
- Evento confirmado:Ascension detectó actividad inusual el 8 de mayo de 2024, posteriormente describió el evento como un ataque de ransomware y dijo que las operaciones clínicas se vieron interrumpidas mientras los hospitales e instalaciones permanecían abiertos bajo procedimientos de contingencia. Su página pública del incidente indicó más tarde que todos los sistemas afectados, las funciones clínicas y el acceso al EHR habían sido restaurados. (Página del evento de ciberseguridad de Ascension)
- Impacto en la continuidad asistencial:La actualización del 9 de mayo de Ascension indicó que los registros médicos electrónicos, MyChart, algunos sistemas telefónicos y los sistemas utilizados para solicitar pruebas, procedimientos y medicamentos no estaban disponibles. Algunos procedimientos electivos no urgentes, pruebas y citas se pausaron temporalmente, y varios hospitales estaban en desvío para servicios médicos de emergencia. (Actualización sobre interrupción de red de Ascension)
- Registro de datos:El 19 de diciembre de 2024, Ascension dijo que una revisión de datos completada encontró que la información personal de algunos pacientes actuales y anteriores, residentes de viviendas para personas mayores y empleados estaba involucrada. Dijo que los tipos de datos variaban y podían incluir información médica, de pago, de seguro, identificación gubernamental y otra información personal, aunque también afirmó no tener evidencia de que los datos se hubieran extraído del EHR u otros sistemas clínicos. El portal de brechas de la OCR del HHS es el listado público federal para informes de grandes brechas de HIPAA. (Portal de brechas de la OCR del HHS)
- Mapa de responsabilidad:Los actores criminales causaron el evento malicioso. Ascension controló el acceso a la red, el aislamiento de los sistemas clínicos, la formación en procedimientos de contingencia, el orden de recuperación, la reconexión de socios, la comunicación con los pacientes, la revisión y el soporte de datos. Las agencias públicas controlaron la aplicación de la ley, la ciberinteligencia, la supervisión de brechas HIPAA y la guía sectorial. Los pacientes y los clínicos solo controlaron pasos limitados y estresantes después de que la interrupción del sistema llegó a la cabecera del paciente.
El ransomware llegó a la cabecera del paciente a través del flujo de trabajo
El incidente de Ascension es fácil de subestimar si se describe solo como un ataque de ransomware a un hospital. La mejor descripción es una prueba de continuidad a nivel de sistema en una red asistencial. El ransomware no necesitó tocar un ventilador ni alterar una orden de medicación para afectar la atención. Solo tuvo que eliminar el acceso ordinario a los registros compartidos, los canales de pedidos, los portales de pacientes, los teléfonos, las rutas farmacéuticas y los sistemas administrativos que los clínicos utilizan para convertir la historia de un paciente en tratamiento.
La primera declaración pública de Ascension, el 9 de mayo de 2024, dijo que detectó actividad inusual en sistemas tecnológicos seleccionados el miércoles 8 de mayo y que se creía que se debía a un evento de ciberseguridad. Dijo que se había interrumpido el acceso a algunos sistemas, las operaciones clínicas estaban afectadas y los equipos asistenciales habían iniciado procedimientos entrenados para mantener la atención del paciente segura y con un impacto mínimo. Ascension también dijo que había contratado a Mandiant, notificado a las autoridades correspondientes y estaba investigando qué información, si la hubiera, se había visto afectada. (Aviso del 9 de mayo de Ascension)
La página del evento posterior es más directa. Dice que el 8 de mayo Ascension sufrió un ataque de ransomware y que, desde entonces, había restaurado todos los sistemas afectados, las funciones clínicas y el acceso al EHR. Esa redacción posterior importa porque traslada el evento de un incidente de ciberseguridad sospechoso a un ataque de ransomware confirmado, a la vez que define el punto final de recuperación que la empresa afirma haber alcanzado. (Página del evento de ciberseguridad de Ascension)
El problema de continuidad comenzó en la brecha entre esos dos estados: después de que los sistemas se interrumpieran y antes de que se pudiera confiar en la restauración completa. Durante esa brecha, los hospitales e instalaciones de Ascension permanecieron abiertos, pero "abierto" no significó normal.
Un hospital puede permanecer abierto mientras el historial clínico es inaccesible, mientras los pedidos deben enrutarse manualmente, mientras las recetas requieren verificación adicional, mientras los mensajes del portal se acumulan, mientras el personal trabaja con papel y mientras los servicios de emergencia se desvían en algunos sitios para mantener el triaje seguro. Eso no es una molestia de comunicación. Es un modo operativo diferente.
El registro público también debe evitar el melodrama. Ascension no dijo que toda la atención se detuviera. Dijo lo contrario: la atención continuó bajo protocolos de contingencia. La cuestión de responsabilidad, por tanto, no es el colapso. Es la atención en modo degradado. ¿Tenía el sistema de salud procedimientos de contingencia realistas? ¿Tenía el personal suficiente formación y suministros? ¿Recibían los hospitales regionales información clara sobre el estado? ¿Sabían las ambulancias a dónde ir? ¿Podían las farmacias dispensar medicamentos crónicos? ¿Se podían rastrear las órdenes de laboratorio e imagen sin el sistema habitual?
¿Podía la empresa restaurar los sistemas sin reconectar infraestructura no segura? Esas preguntas son operativas, no retóricas.
"Abierto" no era lo mismo que atención normal
La actualización de Ascension del 9 de mayo a las 5:30 p.m. mencionó varios sistemas no disponibles: registros médicos electrónicos, MyChart, algunos sistemas telefónicos y varios sistemas utilizados para solicitar ciertas pruebas, procedimientos y medicamentos. Pidió a los pacientes que llevaran notas de citas, listas de medicamentos, números de receta o frascos de medicamentos para que los equipos asistenciales pudieran comunicar las necesidades de medicación a las farmacias. Dijo que los procedimientos electivos no urgentes, pruebas y citas se habían pausado temporalmente en algunos casos, y que varios hospitales estaban en desvío para servicios médicos de emergencia debido a los procedimientos de contingencia. (Página del evento de ciberseguridad de Ascension)
Esa lista es el núcleo del caso. La caída del EHR cambia cómo los clínicos recuperan antecedentes, alergias, medicamentos, análisis previos, imágenes, listas de problemas, notas de alta y opiniones de especialistas. La caída del portal cambia cómo los pacientes se comunican con los proveedores y ven los resultados. La interrupción del sistema telefónico cambia la programación, el triaje de entrada, las solicitudes de reposición y el seguimiento. La interrupción del sistema de pedidos cambia cómo los laboratorios, imágenes, medicamentos y procedimientos pasan de la intención del clínico a la acción completada.
El desvío de ambulancias cambia la asignación regional de la capacidad de emergencia.
Associated Press informó que el ataque provocó desvíos de ambulancias, pruebas pospuestas y registros de pacientes fuera de línea en un sistema que opera aproximadamente 140 hospitales en 19 estados. AP también informó que tanto los registros electrónicos como MyChart se vieron afectados y que el personal volvió a los registros manuales en papel. (Informe de AP sobre la interrupción de la atención en Ascension) Ese informe coincide con las declaraciones de Ascension, pero la fuente oficial sigue siendo la página de la empresa en lo que respecta a lo confirmado por Ascension.
La diferencia entre abierto y normal tiene consecuencias para los pacientes. Un paciente con dolor no experimenta un procedimiento de contingencia como un evento técnico. Experimenta esperas más largas, preguntas repetidas, incertidumbre sobre si los registros antiguos son visibles, incertidumbre sobre si una orden de prueba ha avanzado y preocupación porque el equipo de atención trabaja sin el contexto habitual. Un clínico puede mantener la atención segura mediante formación y criterio, pero el margen es menor porque el sistema de registro ya no realiza su trabajo de coordinación habitual.
Por eso, la palabra "continuidad" debe incluir la calidad de la continuidad. Un hospital puede mantener las puertas abiertas y aun así preguntarse si la conciliación de medicamentos se ralentizó, si los tiempos de laboratorio cambiaron, si la programación quirúrgica se interrumpió, si los ingresos y traslados se volvieron más difíciles, si los pacientes dados de alta pudieron obtener recetas y si los pacientes con movilidad limitada o dominio limitado del inglés tuvieron más dificultades para gestionar la reprogramación de la atención. El registro público no responde a todas esas preguntas, pero demuestra que eran las preguntas correctas.
Los procedimientos de contingencia eran el control de seguridad oculto
Ascension dijo que su personal estaba formado en protocolos y procedimientos de contingencia establecidos. Esa declaración es importante porque los procedimientos de contingencia no son un manual de respaldo en un armario. Son un control de seguridad que debe funcionar mientras los clínicos están cansados, los pacientes ansiosos, los teléfonos ocupados y los gestores esperan información técnica incompleta.
En una caída del EHR, los procedimientos de contingencia deben definir cómo documentan los clínicos, cómo se redactan las órdenes, cómo se verifican los medicamentos, cómo se comprueban las alergias, cómo se etiquetan las muestras de laboratorio, cómo se rastrean las solicitudes de imagen, cómo se concilian después las notas manuscritas y cómo los equipos evitan duplicar o perder información. El registro creado durante la interrupción debe eventualmente formar parte del historial médico permanente. Una nota en papel que nunca regresa al historial no es solo un problema de archivo. Puede afectar la atención futura.
Las actualizaciones de Ascension del 7 y 11 de junio muestran por qué la conciliación era importante. A medida que se restauraba el acceso al EHR por oleadas, Ascension advirtió que los registros médicos y otra información entre el 8 de mayo y la fecha de restauración local del EHR podrían no estar accesibles mientras se cargaba la información recopilada durante la contingencia. Pidió a los pacientes que contactaran con la consulta de su clínico para conocer la disponibilidad de registros durante ese período y advirtió que los mensajes del portal podrían sufrir un ligero retraso. (Página del evento de ciberseguridad de Ascension)
Se trata de una frase inusualmente reveladora. Muestra que la recuperación no consistía solo en que los clínicos volvieran al EHR. También consistía en poner al día el EHR con la atención prestada mientras el EHR no estaba disponible. El registro de contingencia debía recopilarse, validarse, introducirse o cargarse y hacerse accesible. Hasta que eso ocurriera, el historial del paciente para el período de interrupción estaba parcialmente fuera de la vista digital habitual.
Por lo tanto, una buena preparación para contingencias tiene dos mitades. La primera es una atención manual segura durante la interrupción. La segunda es una reintegración limpia después. La segunda mitad suele ser menos visible porque el público ve que los inicios de sesión regresan y asume que la recuperación está completa. En la atención médica, esa suposición es peligrosa. La recuperación está completa solo cuando el sistema de registro refleja con precisión lo que sucedió durante el modo degradado, y cuando los clínicos pueden confiar en que el registro restaurado está lo suficientemente completo para futuras decisiones.
La restauración del EHR fue una prioridad clínica, no solo un hito de TI
Ascension enmarcó repetidamente la restauración del EHR como una prioridad máxima de recuperación. El 29 de mayo dijo que el acceso al EHR se había restaurado en el primer mercado y que un plan escalonado estaba activo. El 4 de junio dijo que los mercados de Florida, Alabama y Austin habían recuperado el acceso al EHR. El 5 de junio añadió Tennessee, Maryland y el centro de Texas. El 7 de junio añadió Oklahoma y dijo que el objetivo era la restauración del EHR en todo el sistema ministerial para el 14 de junio. El 11 de junio enumeró Florida, Alabama, Tennessee, Maryland, el centro de Texas, Oklahoma, Wisconsin, Illinois, Kansas, parte de Michigan y parte de Indiana, mientras seguía trabajando para completar la restauración antes del 14 de junio. (Página del evento de ciberseguridad de Ascension)
Esa secuencia de restauración debe leerse como gobierno clínico. El acceso al EHR no es solo una comodidad digital. Es la memoria compartida del sistema asistencial. Restaurarlo primero es una declaración sobre lo que la organización consideró más necesario para una atención segura. Pero la restauración escalonada también plantea preguntas de responsabilidad. ¿Qué mercados se restauraron primero y por qué? ¿Se basó la secuencia en la preparación técnica, la agudeza clínica, el volumen de pacientes, la capacidad alternativa regional, las dependencias del sistema o la confianza forense?
¿Cómo se informó a los pacientes y servicios de ambulancia sobre qué centros locales estaban en qué estado?
El registro público solo da parte de la respuesta. Muestra una secuencia escalonada y un objetivo. No publica las reglas de decisión detrás de la secuencia. Eso es comprensible durante un incidente en vivo. También es una laguna de evidencia postincidente. Un sistema de salud nacional debería poder mostrar a los reguladores y órganos de gobierno internos por qué el orden de restauración se correspondía con el riesgo clínico.
El lenguaje de restauración también muestra la tensión entre velocidad y seguridad. Ascension dijo repetidamente que los sistemas se restaurarían de forma segura y protegida, tras la validación y el cribado. Ese es el estándar correcto. Reconectar un sistema no validado porque el hospital lo necesita puede empeorar el ataque. Esperar demasiado puede prolongar la interrupción clínica. La decisión responsable se sitúa entre esas presiones.
Para eventos futuros, la práctica pública más sólida sería una matriz de restauración clínica. No necesitaría revelar diagramas de red. Podría identificar estados de servicio: EHR no disponible, EHR solo lectura, EHR restaurado para nueva documentación, registros de contingencia pendientes de carga, portal disponible, transmisión a farmacia restaurada, pedidos de pruebas restaurados, sistemas telefónicos restaurados, conexiones de socios validadas. Los pacientes y clínicos necesitan el estado del servicio, no la regla del cortafuegos.
La continuidad farmacéutica fue una prueba práctica de atención
El acceso a la medicación fue uno de los ejemplos más claros de cómo el ransomware sale del centro de datos y entra en la vida diaria. Ascension pidió a los pacientes que llevaran frascos de medicamentos, números de receta y listas de medicamentos para que los equipos asistenciales pudieran comunicar las necesidades de medicación a las farmacias. Posteriormente, Ascension dijo que las farmacias minoristas, de entrega a domicilio y especializadas de Ascension Rx estaban abiertas y podían atender las necesidades de recetas, y que los proveedores de atención médica podían transmitir recetas electrónicamente a las farmacias de Ascension Rx. (Página del evento de ciberseguridad de Ascension)
Esa secuencia importa porque la continuidad farmacéutica no es opcional. Para los medicamentos crónicos, un retraso puede tener consecuencias para la salud. Para antibióticos, anticoagulantes, insulina, medicamentos para las convulsiones, trasplantes, psiquiátricos o analgésicos después de un procedimiento, la fricción en el flujo de trabajo puede convertirse en riesgo clínico.
Un equipo asistencial puede llamar a una farmacia manualmente, pero la vía manual requiere conocimiento actual de la medicación, identidad correcta del paciente, dosificación clara, manejo del seguro o pago, verificación farmacéutica y una forma de documentar lo que se hizo.
Spectrum News informó desde Wisconsin sobre farmacias locales que lidiaban con el ciberataque de Ascension y la necesidad de mantener a los pacientes con medicamentos crónicos. (Informe de Spectrum News sobre farmacias) Esa perspectiva local es útil porque la interrupción farmacéutica a menudo está dispersa. No siempre aparece como un fallo hospitalario dramático. Aparece como un paciente, un farmacéutico y un prescriptor tratando de reconstruir suficiente información para mantener la terapia.
La planificación de la contingencia de medicamentos debe, por tanto, tratarse como un control de seguridad del paciente. El plan debe definir qué listas de medicamentos pueden consultarse sin conexión, cómo se verifican las alergias, cómo se manejan los flujos de trabajo de sustancias controladas, cómo se autorizan las reposiciones, cómo se priorizan las necesidades urgentes de medicación y cómo se concilia la prescripción manual con el EHR después de la restauración. También debe definir qué se dice a los pacientes.
Pedir a los pacientes que traigan frascos de medicamentos es sensato, pero también transfiere trabajo a personas que pueden estar enfermas, ser ancianas, estar asustadas, tener bajos ingresos, carecer de transporte o no tener recetas perfectamente organizadas.
El registro público muestra que Ascension reconoció el problema farmacéutico. La cuestión de responsabilidad restante es cuán uniformemente funcionaron esas soluciones alternativas en los diferentes estados y centros asistenciales.
La reconexión de socios fue su propia superficie de riesgo
Las actualizaciones del 21 y 24 de mayo de Ascension identificaron otro problema de recuperación subestimado: los socios y proveedores tenían que reconectarse a la red. Ascension dijo que inició contactos periódicos con socios y proveedores críticos para proporcionar información que ayudara a restaurar su conexión a la red de Ascension. El 24 de mayo, dijo que muchos proveedores y socios habían comenzado a reconectarse y reanudar los servicios, lo que debería acelerar la recuperación. (Página del evento de ciberseguridad de Ascension)
La reconexión de socios no es un detalle de programación. Es una decisión de seguridad y continuidad. Los hospitales dependen de laboratorios, proveedores de imagen, farmacias, socios del ciclo de ingresos, proveedores de dispositivos, sistemas en la nube, proveedores de servicios especializados, socios de ambulancias, sistemas de personal, suministros y organizaciones de apoyo. Una respuesta al ransomware puede requerir desconectar o limitar esos enlaces. La recuperación luego requiere decidir qué enlaces son seguros de restaurar, en qué orden, bajo qué monitoreo y con qué evidencia de cada lado.
Ahí es donde la continuidad del sector público y la localidad de los datos se encuentran. Los datos de atención médica no se guardan en un único lugar ordenado. Fluyen a través de sistemas clínicos, servidores de archivos, portales de pacientes, flujos de facturación, interfaces de laboratorio, rutas de farmacia, canales de seguros y entornos de proveedores. Posteriormente, Ascension dijo que los atacantes tomaron archivos de siete de aproximadamente 25,000 servidores, utilizados principalmente por empleados para tareas diarias y rutinarias, y que algunos archivos podrían contener PHI y PII. También dijo que no tenía evidencia de que se hubieran extraído datos del EHR y otros sistemas clínicos. (Página del evento de ciberseguridad de Ascension)
Esas declaraciones trazan un límite útil, pero también destacan por qué la localidad de acceso importa más que la localidad física. Un registro puede estar legalmente en manos de un sistema de salud sin fines de lucro de EE. UU. y aun así quedar expuesto si es accesible a través de un flujo de trabajo comprometido, un servidor de archivos de rutina o una ruta de socio. La soberanía de datos en la atención médica no es solo dónde residen los datos; es quién puede tocarlos, copiarlos, transmitirlos, exportarlos, verlos o reconectarse a ellos después de una brecha.
Por lo tanto, la evidencia postincidente que importa no es solo "sistemas restaurados". Es "conexiones restauradas con validación". Un sistema de salud debería poder demostrar que la reconexión de socios no reintrodujo credenciales comprometidas, relaciones de confianza obsoletas, acceso remoto no revisado o rutas de datos no monitoreadas.
La brecha de datos no fue lo mismo que la interrupción clínica
La actualización del 19 de diciembre de Ascension completó una parte diferente del registro. Después de trabajar con expertos externos para revisar los datos potencialmente involucrados, Ascension dijo que empezaría a notificar a las personas cuya información personal estaba involucrada y a ofrecer servicios gratuitos de monitoreo de crédito y protección de identidad. Dijo que la información podría incluir información médica como el número de historial clínico, fecha de servicio, tipos de pruebas de laboratorio o códigos de procedimiento; información de pago; información de seguro; identificación gubernamental; y otra información personal como fecha de nacimiento o dirección. (Página del evento de ciberseguridad de Ascension)
Este registro de datos no debe fundirse con el registro de continuidad asistencial. La interrupción ocurrió en mayo y junio. La notificación de datos se desarrolló durante meses, tras la revisión de archivos. Ambos son consecuencias del mismo ataque, pero generan deberes diferentes. Una interrupción clínica requiere atención de contingencia inmediata, decisiones de desvío, comprobaciones de seguridad, comunicación con el paciente y restauración. Una brecha de datos requiere análisis poblacional, mapeo de campos, notificación legal, soporte de identidad, informes al regulador y vigilancia de estafas a largo plazo.
La página de la Regla de Notificación de Brechas de HHS explica el marco federal de notificación para información de salud protegida no asegurada, incluyendo las obligaciones de tiempo para brechas que afecten a 500 o más personas. (Regla de Notificación de Brechas de HHS) HHS también publica orientación sobre cómo enviar la notificación al Secretario. (Página de informes de brechas de HHS) El portal público de brechas de OCR enumera informes de grandes brechas bajo investigación. (Portal de brechas de OCR de HHS)
El límite en la declaración de Ascension es importante: los datos de los pacientes estaban involucrados, pero Ascension dijo que no había evidencia de que se hubieran extraído datos del EHR y otros sistemas clínicos donde se almacenan los registros completos de los pacientes. Esa es una garantía significativa, no una eliminación completa del daño. Una fecha de servicio, tipo de prueba de laboratorio, código de procedimiento, número de seguro o identificación gubernamental pueden seguir siendo sensibles.
El hecho de que no se haya demostrado que se hayan extraído registros completos del EHR, según el registro público de Ascension, no hace que los datos rutinarios del servidor de archivos sean inocuos.
Tampoco prueba que cada persona afectada experimentara el mismo riesgo. Ascension dijo que los datos variaban según la persona y no se podían confirmar para cada individuo en la declaración pública genérica. Un buen registro de notificación debería dar a cada persona las categorías de campo más específicas disponibles y los pasos de soporte. Los grandes sistemas de salud no deberían basarse en una única lista amplia cuando el riesgo individual difiere según el tipo de datos.
Los informes estatales y comerciales muestran cómo el registro de privacidad se convirtió en un registro de protección al consumidor. La Fiscal General de Michigan, Dana Nessel, animó a los pacientes y empleados de Ascension a considerar el monitoreo de crédito gratuito después de que Ascension advirtiera que parte de la información personal podría haber estado involucrada. (Aviso de la Fiscal General de Michigan) Healthcare Dive informó posteriormente sobre la escala federal de la brecha: 5,6 millones de personas en el contexto de notificación pública de brechas. (Informe de Healthcare Dive sobre la brecha) Esas fuentes no sustituyen el aviso de Ascension ni el portal de HHS, pero muestran que las consecuencias de privacidad del incidente permanecieron activas después de la restauración clínica.
La explicación del archivo malicioso no es el fin de la responsabilidad
El 12 de junio, Ascension dijo que había identificado cómo el atacante obtuvo acceso: una persona que trabajaba en una de sus instalaciones descargó accidentalmente un archivo malicioso que creía legítimo. Ascension dijo que no tenía motivos para creer que esto fuera otra cosa que un error honesto. (Página del evento de ciberseguridad de Ascension)
Ese es un hecho útil, pero no debería convertirse en un final conveniente. La seguridad moderna debería asumir que algunos empleados harán clic. Los controles responsables son lo que sucede antes y después del clic: seguridad del correo electrónico, aislamiento del navegador, detonación de archivos adjuntos, detección en el punto final, privilegio mínimo, control de aplicaciones, segmentación, detección de movimiento lateral, controles de acceso al servidor de archivos, aislamiento de copias de seguridad, respuesta a incidentes y preparación para contingencias clínicas.
La página de la Regla de Seguridad de HHS establece el estándar en términos generales: se requieren salvaguardas administrativas, físicas y técnicas para proteger la confidencialidad, integridad y disponibilidad de la información de salud protegida electrónicamente. (Regla de Seguridad de HHS) HHS también mantiene material de orientación sobre ciberseguridad para entidades cubiertas por HIPAA y socios comerciales. (Material de orientación cibernética de HHS) La Guía StopRansomware de CISA también enfatiza la preparación, prevención, planificación de respuesta, copias de seguridad y comunicaciones. (Guía StopRansomware de CISA)
Ninguna de esas fuentes generales es una conclusión de que Ascension violó una regla. Definen las categorías de control que importan. El principio fundamental de responsabilidad es que no se debe permitir que una sola descarga accidental se convierta en una interrupción clínica a nivel de sistema si capas razonables pueden limitar el radio de explosión. Si se convierte en sistémica, la organización debe poder explicar por qué, qué falló, qué funcionó y qué cambió.
El lenguaje del "error honesto" es humano. Evita culpar a un trabajador individual. Pero el lenguaje humano debe ir acompañado de aprendizaje organizacional. Culpar a un trabajador es una responsabilidad débil. Tratar la acción del trabajador como una señal en un sistema de control más amplio es más fuerte.
La recuperación financiera no midió la carga del paciente
Las divulgaciones financieras de Ascension muestran que el evento tuvo consecuencias operativas más allá de la página del incidente. En septiembre de 2024, Ascension dijo que las operaciones de mayo y junio se vieron afectadas por el incidente de ciberseguridad, lo que resultó en ingresos reducidos por interrupción del negocio y costes para remediar problemas y otros gastos comerciales. También dijo que el balance y los niveles de liquidez seguían siendo sólidos, con liquidez suficiente para seguir prestando atención. (Resultados financieros del cuarto trimestre del año fiscal 2024 de Ascension)
En febrero de 2025, Ascension dijo que las operaciones del cuarto trimestre del año fiscal 2024 se habían visto afectadas por el ciberataque de mayo, pero que la recuperación del volumen del año fiscal 2025 había continuado y el volumen de pacientes en las mismas instalaciones había mejorado entre un 5 y un 6 por ciento desde el evento cibernético, con indicadores clave de rendimiento operativo volviendo a la normalidad. (Resultados financieros del segundo trimestre del año fiscal 2025 de Ascension)
Esas declaraciones son útiles para la resiliencia organizacional, pero no son un informe completo del daño al paciente. La recuperación de ingresos y la recuperación de volumen pueden coexistir con citas retrasadas, frustración del paciente, estrés en la farmacia, horas extra de los clínicos, desvíos locales, historiales repetidos, documentación manual y pérdida de confianza. Un sistema puede recuperarse financieramente mientras algunos pacientes aún recuerdan el día en que sus registros no estaban disponibles.
El registro de responsabilidad sería más sólido si los informes postincidente separaran al menos cuatro medidas de recuperación. Primero, la restauración técnica: qué sistemas estaban limpios y disponibles. Segundo, la restauración clínica: qué funciones asistenciales volvieron al flujo de trabajo ordinario. Tercero, la restauración de registros: cómo se concilió la documentación de contingencia. Cuarto, el soporte al paciente: qué retrasos, desvíos, reprogramaciones y notificaciones de datos requirieron seguimiento.
Las páginas financieras de Ascension muestran una gran organización que absorbe el evento. No muestran la distribución completa de las molestias y el riesgo entre pacientes, clínicos, farmacias, servicios de ambulancia y comunidades locales. Eso no es un defecto exclusivo de Ascension. Es un problema más amplio en los informes de incidentes cibernéticos: los balances son más fáciles de resumir que la fricción asistencial.
El sector trató el ransomware hospitalario como una función pública
Ascension dijo que notificó a las fuerzas del orden y socios gubernamentales, incluidos el FBI, CISA, HHS y la American Hospital Association, y compartió inteligencia de amenazas relevante con H-ISAC para que los socios de la industria y colegas pudieran protegerse. (Página del evento de ciberseguridad de Ascension) Ese marco multiagencial importa porque un evento de ransomware en un hospital no es solo un asunto privado entre una víctima y un atacante.
Los hospitales son parte de la capacidad regional de emergencia. Cuando varios hospitales entran en procedimientos de contingencia o desvío, los hospitales circundantes, las agencias de EMS, las autoridades de salud pública y los pacientes sienten el cambio. Esto es continuidad del sector público en la práctica. El gobierno no gestiona el EHR de Ascension, pero el gobierno tiene interés en que la atención de emergencia, las advertencias públicas, la aplicación de la ley, la inteligencia de amenazas y la supervisión de HIPAA sigan funcionando cuando un gran sistema de salud se ve interrumpido.
El trabajo de ciberseguridad de la American Hospital Association ha enmarcado repetidamente el ransomware contra hospitales como un problema de seguridad del paciente. Su página de ciberseguridad destaca la preparación para la resiliencia cibernética en hospitales y sistemas de salud. (Centro de recursos de ciberseguridad de AHA) AHA también resumió un debate del Consejo de Seguridad de las Naciones Unidas en el que el presidente de Ascension compartió que el ataque de mayo interrumpió las operaciones en los hospitales de Ascension, cifró miles de sistemas informáticos e hizo que los registros médicos electrónicos fueran inaccesibles. (Resumen del Consejo de Seguridad de la ONU sobre ransomware de AHA)
Esas fuentes sectoriales deben usarse con cuidado. No sustituyen la cronología del incidente de Ascension. Muestran que la resiliencia cibernética hospitalaria es ahora parte de la conversación sobre seguridad nacional, salud pública y gestión de emergencias. Cuanto más se digitaliza la atención médica, menos creíble es tratar el ransomware como un asunto de TI de trastienda.
Los pacientes tenían un control limitado y una alta exposición
Las instrucciones de Ascension a los pacientes fueron prácticas: llevar síntomas, listas de medicamentos, números de receta o frascos; estar atentos a las actualizaciones; usar el monitoreo de crédito si les preocupaba; contactar a las consultas de sus clínicos para la disponibilidad de registros durante la contingencia; llamar al 911 en emergencias. Esos pasos ayudaron a las personas a navegar una situación difícil. También muestran el desequilibrio.
Los pacientes podían traer frascos. No podían restaurar el EHR. Podían repetir su historial médico. No podían saber si una nota anterior era visible. Podían aceptar la reprogramación. No podían elegir el orden de restauración. Podían inscribirse en el monitoreo de crédito. No podían desexponer un código de procedimiento, número de seguro o fecha de servicio. Podían estar alerta ante estafas. No podían conocer todos los lugares donde sus datos podrían ser copiados.
Este desequilibrio es la razón por la que el lenguaje de vigilancia nunca debe sustituir a la responsabilidad organizacional. Es apropiado decir a los pacientes lo que deben hacer. Es insuficiente implicar que la acción del paciente puede compensar los controles faltantes. En la atención médica, la persona más expuesta al daño posterior es a menudo la que tiene menos poder operativo.
La dimensión de vulnerabilidad es especialmente importante porque la misión de Ascension enfatiza la atención a las personas pobres y vulnerables, y sus recursos de comunicación describen un gran sistema con visitas a urgencias, nacimientos, cirugías, altas y programas de beneficio comunitario. (Recursos de comunicación de Ascension) Un apagón de ransomware no afecta a todos por igual. Los pacientes sin transporte, sin permiso remunerado, con enfermedades crónicas, con vivienda inestable, con barreras lingüísticas, con necesidades de salud mental o con regímenes de medicación complejos tienen menos margen para la fricción.
Por lo tanto, un plan de continuidad responsable debería medir la carga impuesta a los pacientes. ¿Cuántas citas se pausaron o reprogramaron? ¿Cuántos pacientes necesitaron soluciones alternativas para la medicación? ¿Qué idiomas se usaron en los avisos? ¿Cómo se contactó a los pacientes sin internet o teléfono confiables? ¿Cómo se coordinaron los desvíos de emergencia con los SEM locales? ¿Cómo se concilió la documentación de contingencia para los pacientes que necesitaban atención continua? Estas preguntas definen la responsabilidad asistencial mejor que una sola fecha de restauración.
La soberanía de datos se trataba de accesibilidad
El tema manifiesto "Soberanía y localidad de datos" no es una cuestión limitada de dónde estaban físicamente ubicados los servidores. El caso de Ascension muestra la pregunta de atención médica más relevante: ¿qué datos eran accesibles a través de qué rutas de acceso durante el trabajo ordinario?
Ascension dijo que los atacantes tomaron archivos de siete de aproximadamente 25,000 servidores utilizados principalmente por empleados para tareas diarias y rutinarias. También dijo que esos archivos podían contener PHI y PII. Esa combinación es reveladora. Los datos sensibles pueden residir en espacios de trabajo rutinarios, exportaciones, archivos adjuntos, carpetas compartidas, colas de trabajo, archivos de informes, documentos escaneados y almacenes operativos temporales. El EHR puede ser el registro completo del paciente, pero no es el único lugar donde aparece la información del paciente.
La página actual de Ascension One describe una experiencia digital del paciente para pagar facturas, ver resultados de pruebas y laboratorios, mantenerse conectado con los médicos y programar y gestionar citas familiares. (Ascension One) Ese lenguaje público del producto no es una fuente del incidente. Ayuda a los lectores a entender la expectativa ordinaria: los pacientes y clínicos ahora experimentan la atención a través de cuentas conectadas, portales, registros y flujos de trabajo. Cuando la respuesta al ransomware deshabilita partes de ese ecosistema, la localidad se vuelve funcional. Los datos y la atención son locales al sistema que puede acceder a ellos en el momento en que se necesitan.
Las preguntas de minimización de datos y gobernanza del acceso son consecuentes. ¿Por qué los servidores de archivos rutinarios contenían los campos que contenían? ¿Estaban limitadas en el tiempo las exportaciones sensibles? ¿Estaban clasificados y monitoreados los archivos? ¿Estaban segmentados los servidores de empleados rutinarios de los sistemas clínicos? ¿Estaban restringidos los archivos descargados por controles de punto final? ¿Se archivaban o eliminaban los archivos rutinarios antiguos? ¿Eran suficientemente estrechas las rutas de acceso de los socios? El registro público no responde a esas preguntas; las hace necesarias.
La lección correcta no es que los sistemas de EHR nunca deban conectarse a otros sistemas. La atención médica no puede funcionar así. La lección es que cada copia secundaria de datos del paciente se convierte en parte del radio de explosión clínico y de privacidad.
Cómo sería una mejor evidencia
Un registro público postincidente maduro para un sistema de salud debería responder a varias preguntas sin publicar detalles de seguridad sensibles.
Primero, debería proporcionar una línea de tiempo del estado del servicio. Debería identificar cuándo cambiaron el acceso al EHR, el acceso al portal, los sistemas telefónicos, los pedidos de medicamentos, los pedidos de laboratorio, la programación de procedimientos, la transmisión a farmacia, los sistemas de facturación, las conexiones de socios y el estado de desvío regional. La página del evento de Ascension proporcionó muchas actualizaciones, pero una línea de tiempo consolidada facilitaría la auditoría del registro.
Segundo, debería proporcionar un informe de contingencia clínica. Ese informe debería explicar qué procedimientos de contingencia se activaron, cómo se apoyó al personal, cómo se concilió la documentación manual, cómo se mantuvieron las comprobaciones de seguridad de medicamentos y laboratorio, y si se realizaron revisiones de seguridad específicas del incidente. No debería revelar eventos privados de pacientes, pero sí mostrar el sistema de control.
Tercero, debería proporcionar un mapa de datos por categoría. El aviso de diciembre de Ascension enumeró posibles categorías, pero el estándar más sólido es la notificación a nivel de campo cuando sea factible: número de historial clínico, fecha de servicio, código de procedimiento, tipo de prueba de laboratorio, identificador de seguro, campo de pago, identificación gubernamental, dirección, fecha de nacimiento y datos del empleado no deberían mezclarse si a cada persona se le puede informar más específicamente.
Cuarto, debería explicar la ruta de acceso y la contención a alto nivel. La explicación del archivo malicioso es útil. Un registro completo añadiría los controles organizacionales cambiados después, como el filtrado de correo electrónico, la política de punto final, la revisión de acceso al servidor de archivos, la segmentación, el registro, el aislamiento de copias de seguridad y los controles de acceso privilegiado, sin dar un guion a los atacantes.
Quinto, debería publicar medidas agregadas de impacto en el paciente: pausas de citas, reprogramaciones, duración del desvío por región, volumen de soluciones alternativas de farmacia, cartera de pedidos del portal y actividad de la línea de soporte. La divulgación pública puede preservar la privacidad y aun así ser significativa.
Finalmente, debería aclarar las cuestiones no resueltas. Si los litigios, la revisión regulatoria o el riesgo de seguridad limitan el detalle, que se diga. Los pacientes manejan mejor la incertidumbre cuando se nombran los límites.
La lección es la resiliencia asistencial
Ascension fue víctima de un delito. Ese hecho debe declararse claramente. Los actores criminales causaron el ataque de ransomware. Las fuerzas del orden y las agencias cibernéticas tienen el papel público de investigación, inteligencia y disuasión. No se debe esperar que ningún hospital derrote todos los intentos maliciosos sin incidentes.
Pero la responsabilidad de la atención médica no se detiene en la condición de víctima. Un sistema de salud controla la arquitectura, la formación, los procedimientos de contingencia, las dependencias de socios, los almacenes de datos, la secuencia de recuperación y las comunicaciones con los pacientes que determinan si el ransomware se convierte en una interrupción manejable o en una disrupción asistencial.
El registro público de Ascension muestra tanto resiliencia como tensión: los hospitales permanecieron abiertos, los clínicos siguieron atendiendo, se priorizó la restauración del EHR, las farmacias volvieron a estar en línea, los sistemas se restauraron finalmente y se enviaron notificaciones. También muestra desvíos de emergencia, atención pausada, falta de acceso ordinario a los registros, retraso en la integridad del portal, meses de análisis de datos y un impacto financiero significativo.
La lección duradera es que la recuperación del ransomware en la atención médica es una disciplina clínica. Pertenece a la supervisión del consejo de administración, las operaciones de enfermería, el liderazgo farmacéutico, la gestión de emergencias, la planificación del ciclo de ingresos, el cumplimiento de la privacidad, la gobernanza de proveedores y las comunicaciones con los pacientes, no solo a las operaciones de seguridad. El historial clínico es parte de la atención. El sistema de pedidos es parte de la atención. El portal es parte de la atención. El paquete de contingencia es parte de la atención.
Cuando esos sistemas fallan, la responsabilidad se mide por la seguridad con la que la organización puede seguir tratando a las personas mientras demuestra que la base digital puede volver a ser confiable.
Tipografía
La tipografía es el arte y la técnica de disponer los tipos para hacer que el lenguaje escrito sea legible, legible y visualmente atractivo. Implica la selección de tipografías, tamaños de punto, longitudes de línea, interlineado y espaciado entre letras.
- La tipografía tuvo su origen con la invención de los tipos móviles por Johannes Gutenberg en el siglo XV.
- Los elementos clave incluyen la selección de fuentes, el kerning, el tracking y el interlineado.
- Una buena tipografía mejora la legibilidad y transmite el estado de ánimo o el tono en el diseño.

