EL CASO

Una paciente ingresó en un centro asistencial polivalente el 16 de julio de 2019, durante la vigencia del nuevo Código Civil y Comercial, para tener a su bebé, y no tenía idea de que el sanatorio estaba inmerso en un ataque de ransomware (1), como luego se supo.
Un ultrasonido una semana antes a su ingreso no había mostrado signos preocupantes del embarazo, según se conversó en el sanatorio y en la mediación prejudicial, pero un aumento en su presión arterial preocupó al médico tratante lo suficiente como para programar en lo inmediato su ingreso sanatorial para ser inducida en la unidad de trabajo de parto y parto de un establecimiento asistencial de la provincia de Buenos Aires.
Durante casi tres días, previos al ingreso programado, las computadoras habían estado desactivadas en todos los pisos, sistemas y servicios. Un rastreador inalámbrico en tiempo real que podía localizar al personal médico en el sanatorio estaba caído. Años de historias clínicas de pacientes que habían sido digitalizadas, poco después de la sanción de la ley 26.529, (Derechos del Paciente, Historia Clínica, Consentimiento Informado y Voluntades Anticipadas) eran inaccesibles.
El responsable técnico de soporte informático no podía resolver el inconveniente. Los servicios de diagnóstico y tratamiento están automatizados y disponen de sistemas de tratamiento de la información. Estos sistemas están integrados al Sistema de Información del Sanatorio y a la Historia Clínica electrónica.
Y en el office de las enfermeras de la sala de partos, el personal del staff auxiliar había quedado desconectado del equipo que debía monitorear los latidos cardíacos fetales y del diagnóstico por imágenes.
Los accionistas del sanatorio habían decidido no acceder al pedido de una suma de dinero para el “rescate” del sistema secuestrado.
Los médicos de guardia activa de obstetricia durante esos tres días y enfermeras de la unidad se enviaron mensajes de texto con actualizaciones. “No tenemos registros computarizados por no sé cuánto tiempo, se nos ha caído el sistema”. Las “tiras de control no se podrán imprimir”. No habría forma de imprimir los resultados de los controles.
La hija de la paciente nació con el cordón umbilical envuelto alrededor de su cuello. La afección desencadenó señales de advertencia en el monitor cardíaco cuando el cordón cortaba el suministro de sangre y oxígeno al feto, pero no podía ser diagnosticado por ninguna de las personas que estaban en la sala de partos.
Post nacimiento Carolina fue diagnosticada con daño cerebral irreversible. Murió nueve meses después.
En medio del hackeo ignorado por los médicos, menos ojos estaban en los monitores cardíacos, que normalmente se registran en una pantalla grande en la estación de enfermería, además del interior de la sala de partos, a la espera de una solución informática.
La médica obstetra de guardia a cargo ese día, le envió un mensaje de texto a la obstétrica encargada y al obstetra tratante, a modo de justificación, de que habría dado a luz a la bebé por cesárea si hubiera visto la lectura del monitor. “Necesito que me ayudes a entender por qué no me notificaron antes”, escribió la médica tratante en su respuesta, mientras se acercaba al sanatorio en su transporte.
Capturas de pantalla de textos de WhatsApp entre la obstetra de guardia, la médica tratante y la obstétrica y quien hacía las veces de jefe de Servicio de Obstetricia del sanatorio y otro colega, fueron presentadas como prueba, más adelante tanto en el juicio penal cuanto en el civil, por la defensa judicial de los médicos y sus aseguradoras.
La madre y el padre de Carolina denunciaron penalmente a médicos, obstétrica, enfermeras y director del sanatorio, alegando que la información sobre la condición del bebé nunca llegó a la médica de guardia de obstetricia, porque el sistema del sanatorio que hacía funcionar el monitor de frecuencia cardíaca no había recibido la información pertinente, y además, porque al ingreso al sanatorio en trabajo de parto, la pareja no había sido informada de la “caída” del sistema y el correspondiente riesgo de la falta de controles en esas instancias finales. Obviamente, mucho menos del ransomware. Más adelante llegó la demanda civil.
En sede judicial civil, fue ofrecida como prueba, la existencia de la caída del sistema por hackeo extorsivo. De poder probarse y de ser aceptada la exclusión de responsabilidad sanatorial, el caso marcaría la primera muerte confirmada por un ataque de ransomware. Pero ¿de quién sería la responsabilidad? ¿Cuál podría ser considerada la extensión del daño? (2) ¿Cabría considerarse la existencia de responsabilidad derivada por la intervención de cosas? ¿La conducta de los accionistas fue omisiva? ¿La utilización de un sistema informático transforma a la actividad médica en más riesgosa? ¿Cuál sería la relación de causalidad adecuada?

LA ACTUALIDAD
 
Hace una década, el ransomware era una novedad en el mundo del ciberdelito: (3) una molestia para los consumidores y las pequeñas empresas que a menudo costaba a las víctimas unos cientos de miles de pesos. Hoy en día, las autoridades de algunos países centrales están alarmadas por la creciente sofisticación de los operadores de ransomware, que han recibido cientos de millones de pesos y han provocado importantes interrupciones en los sistemas de transporte, energía y otras infraestructuras críticas como el cuidado de la salud, tanto pública como privada. Una firma de seguridad “Recorded Future” de los Estados Unidos de Norteamérica estima que hubo alrededor de 65.000 incidentes de ransomware en todo el mundo el año pasado.
Los hospitales, clínicas y sanatorios se han convertido cada vez más en objetivos, y los piratas informáticos apuestan a que los propietarios o accionistas, pagarán rápidamente para restaurar la tecnología que salva vidas, lo que agrega aún más presión a los proveedores de atención médica, que como es sabido, ya han sido afectados económicamente por la pandemia.
En mayo, el FBI advirtió que los continuos ataques de ransomware contra proveedores médicos estaban poniendo al público en peligro y arriesgaban retrasos en la atención médica.
Algunos se niegan a nombrar a los piratas informáticos, pero Allan Liska, un analista senior de inteligencia de Recorded Future, dijo que probablemente era la pandilla Ryuk con sede en Rusia, la que estaba interviniendo en hospitales en este momento.
El Journal of Medicine informó en junio que Ryuk había atacado al menos 235 hospitales generales e instalaciones psiquiátricas para pacientes hospitalizados, además de docenas de otras instalaciones de atención médica en los EE. UU.
Desde 2018, Ryuk ransomware recaudó al menos u$s 100 millones en pagos de rescate en bitcoins el año pasado. La demanda de rescate promedio del grupo es de poco menos de u$s 700.000, según la firma de negociación de ransomware Coveware.
Los piratas informáticos firman sus notas de rescate con la imagen de un dios de la muerte ficticio, Ryuk, de una novela gráfica japonesa, dándoles su nombre. Las consultas del Journal of Medicine a las direcciones de correo electrónico utilizadas en algunos de los ataques de Ryuk quedaron sin respuesta.
Los ataques están aumentando en número y escala a medida que miles de personas, por cuestiones relacionadas con la pandemia del Covid-19 en todo nuestro país, trabajan, hacen visitas médicas (Telemedicina), hacen negocios, compran, venden o asisten a la escuela de forma remota, en algunos casos abriendo puertas traseras a redes sin protecciones de seguridad corporativas o institucionales, dicen los investigadores de seguridad. Cada vez le damos más información personal a los delincuentes informáticos. Toda esa información tiene un “mercado negro” donde se compra y se vende. (4)
Los piratas informáticos se han vuelto expertos en comunicarse sobre vulnerabilidades en la llamada Dark Web, una red de computadoras que pueden compartir información de forma anónima. Ya sabemos que esa información hasta puede ser usada por los partidos políticos para saber por quién vamos a votar, o al menos nuestra preferencia.
La capacidad de exigir el pago en criptomonedas (moneda preferida de los hackers) limita las capacidades de seguimiento de las fuerzas del orden. (5)
Tendrán que pensar los establecimientos médicos y las Aseguradoras del riesgo de RC Profesional Médica Institucional en solicitar y otorgar o en no otorgar la cobertura de ransomware de la actividad médica, o un eventual crecimiento de emisión de las pólizas de seguros que cubran los pagos de ransomware ayudarán a sembrar una industria del hackeo y secuestro de la información y manejo del Sistema del Cuidado de la Salud, cada vez más profesionalizada. ¿Habrá que pensar en una nueva Exclusión de Cobertura?
Hasta ahora, ninguna muerte se ha relacionado definitivamente con un ataque a una clínica, sanatorio u hospital. Sin embargo, un análisis estadístico realizado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (USA) encontró evidencia de que el ransomware puede tener consecuencias nefastas para los establecimientos de salud.
     Por casa, ¿cómo andamos?


REFERENCIAS
1) Ransomware, o “secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción.
2) El art. 185 del Código de Ética Médica prescribe “…evitar el accionar de violadores de información reservada” y la Recomendación 5/97 del Consejo de Ministros del Consejo de Europa sobre Protección de datos médicos, se refiere a “…. A la permanente evaluación de los riesgos potenciales”.
3) Fuente: The Wall Street Journal.
1/10/2021. Kevin Poulsen, Robert McMillan y Melanie Evans.
4) Zurdo, Gabriel. Titular Cátedra de Auditoría y Seguridad Informática de la Facultad de Ciencias de la Administración USAL. Entrevista de Carlos Pagni, programa “Odisea Argentina” del 11/10/2021. Canal LN+.
5) Zurdo, Gabriel. Titular Cátedra de Auditoría y Seguridad Informática de la Facultad de Ciencias de la Administración USAL. Entrevista de Carlos Pagni, programa “Odisea Argentina” del 11/10/2021. Canal LN+.

(*) Consultor Externo de TPC Compañía de Seguros S.A. CEO de RiskOut. Consultora Especializada en Responsabilidad Profesional Médica. Gestión de Riesgos y Seguridad del Paciente.