Recordando el ciberataque al servicio sanitario irlandés

El 14 de mayo de 2021, el Health Service Executive (HSE) de Irlanda sufrió un ciberataque de ransomware sin precedentes que afectó a todos los sistemas en línea implicados en la prestación de sus servicios, desde radiología, patología/laboratorios, radioterapia, maternidad, atención primaria, servicios para discapacitados y análisis de sangre.

Como el personal del HSE no pudo acceder a los datos de los pacientes, también se crearon retrasos en los ingresos y altas de pacientes y dificultades en el traspaso de pacientes como consecuencia directa del ataque.

Como medida de precaución destinada a limitar el impacto del ataque, el HSE, que en ese momento operaba con más de 70.000 dispositivos informáticos en aproximadamente 4.000 ubicaciones, tomó la decisión de apagar su red de Tecnologías de la Información y la Comunicación (TIC).

Esto significó que todos los sistemas de HSE, independientemente de si se habían visto afectados o no, se vieron afectados.

Posteriormente, la Junta del HSE y su Director General encargaron a PricewaterhouseCoopers (PwC) una revisión sobre cómo se produjo el ataque y cómo fue posible que todo un servicio nacional de salud se viera tan eficazmente comprometido.

El HSE encargó a PwC que estableciera urgentemente los hechos en relación con la preparación actual de la organización en términos de sus sistemas de TIC, ciberprotección e información y su preparación operativa.

El informe que siguió a la revisión posterior al incidente reconocía las medidas inmediatas adoptadas por el HSE, que incluían la solicitud de ayuda a la Oficina Nacional de Ciberdelincuencia de la Garda, a la Organización Internacional de Policía Criminal («Interpol») y al Centro Nacional de Ciberseguridad («NCSC»). También destacó la enorme dedicación y esfuerzo observados en todos los niveles del personal durante la respuesta al Incidente.

Sin embargo, el informe de PwC fue mordaz en su evaluación de la preparación del HSE, al tiempo que subrayaba las muchas oportunidades perdidas que podrían haber evitado que el atacante accediera a los sistemas TIC del HSE.

En concreto, PwC afirma que, según su evaluación, el ciberataque pudo causar los daños que causó porque el HSE funcionaba con lo que denominó un frágil sistema informático que había evolucionado en lugar de haber sido diseñado para ser resistente y seguro.

También detectó deficiencias flagrantes en la supervisión, como el hecho de que en el momento del incidente el HSE no tuviera un único responsable de la ciberseguridad, a nivel ejecutivo o directivo.

También se supo que hubo varias detecciones de la actividad del atacante antes del 14 de mayo de 2021, pero no dieron lugar a que el HSE iniciara un incidente de ciberseguridad y una investigación. Como resultado, se perdieron oportunidades de evitar la detonación exitosa del ransomware.

En cuanto al impacto financiero del ataque, los costes iniciales se cifraron en unos 40 millones de euros, con unos costes legales adicionales de 2,6 millones de euros desde el ciberataque. Estas cantidades son sólo una fracción de los 657 millones de euros que se calcula que habrá que gastar para aplicar plenamente todas las mejoras de ciberseguridad recomendadas por el estudio de PwC posterior al incidente.

Desde el ataque, el HSE ha trabajado para abordar de forma significativa los déficits y vulnerabilidades detectados en su arquitectura de TIC. También ha tomado una serie de medidas clave, como la contratación de un Director de Seguridad de la Información para dirigir las operaciones de ciberseguridad de extremo a extremo.

Muchas de las cuestiones suscitadas por el ciberataque contra el servicio sanitario irlandés, en particular la labor de actualización de su «frágil parque informático», están llamadas a resurgir tras la publicación, el 15 de enero, del plan de acción de la Comisión Europea para reforzar la ciberseguridad de hospitales y proveedores de asistencia sanitaria.

Los objetivos declarados del plan de acción se centran en mejorar la detección de amenazas, la preparación y la respuesta a las crisis en el sector sanitario a escala europea. También pretende proporcionar orientación, herramientas, servicios y formación adaptados a hospitales y proveedores de asistencia sanitaria, con varias acciones específicas que se pondrán en marcha progresivamente en 2025 y 2026, en colaboración con los proveedores de asistencia sanitaria, los Estados miembros y la comunidad de la ciberseguridad.

La comunicación de la Comisión sobre el plan de acción identifica específicamente el ciberataque irlandés como ejemplo del tipo de incidente capaz de demostrar el potencial de los ciberataques para propagarse rápidamente a través de sistemas interconectados. También cita el ciberataque irlandés como un incidente que subraya la importancia de garantizar sistemáticamente que una cultura fundamental de ciberhigiene y ciberseguridad esté operativa en todas las organizaciones de la UE.

Aunque el ciberataque de Irlanda fue un asalto alarmante que causó importantes trastornos y costes financieros, el plan de acción de la Comisión se esfuerza en destacar el potencial de resultados más destructivos y siniestros cuando lo despliegan agentes estatales y no estatales como parte de una campaña híbrida más amplia contra todo el entorno de seguridad de la UE.

En opinión de la Comisión, no prepararse adecuadamente para los ciberataques y repelerlos puede conducir en última instancia a la desestabilización de nuestras sociedades por parte de quienes pretenden sacar provecho de la división y la perturbación. No se trata de sugerir, y el plan de acción ciertamente no sugiere que exista una solución «milagrosa» a los retos de ciberseguridad que existen con respecto a la protección de las plataformas digitales de asistencia sanitaria de la UE.

En su lugar, se centra en pedir un refuerzo de la prevención, la preparación y «un enfoque más coordinado de la solidaridad, aprovechando al mismo tiempo la experiencia de la industria europea de la ciberseguridad». Como tal, y tal como afirma el plan de acción, refleja el enfoque más amplio de la UE en materia de seguridad, que se desarrollará y formalizará en la próxima Estrategia Europea de Seguridad Interior.

Por eso el plan insta específicamente a todos los Estados miembros a adoptar un enfoque de «toda la sociedad» y «todo el gobierno».

Este punto también se refleja en los documentos de orientación publicados por el Centro Nacional de Ciberseguridad de Irlanda (NCSC), concretamente en su Plan Nacional de Ciberemergencia (NCEP).

El NCEP establece el enfoque nacional para responder a incidentes graves de ciberseguridad que afecten a la confidencialidad, integridad y disponibilidad de sistemas y redes de tecnología de la información y tecnología operativa de importancia nacional, como los que se vieron afectados durante el ataque al HSE de Irlanda.

La voluntad de Irlanda de avanzar en su preparación en este ámbito puede verse también en la reciente publicación del Programa de Gobierno de la administración irlandesa entrante. En él se establece el compromiso de que el gobierno presentará una nueva Estrategia Nacional de Ciberseguridad en 2025. También se compromete a promover la creación de un centro de excelencia para el desarrollo de competencias en ciberseguridad.

La necesidad de mayores niveles de competencia tecnológica y familiaridad con la ciberseguridad entre el personal de los principales servicios nacionales también se señaló en la revisión posterior al incidente de PwC.

Sin embargo, aunque se aceptó la necesidad de adoptar medidas complejas de ciberseguridad en los sistemas sanitarios irlandeses, la revisión también reconoció la necesidad de equilibrar esto con la necesidad de facilidad de uso, especialmente para el personal clínico.

La experiencia del ciberataque del HSE y la creciente amenaza mundial de los ciberdelincuentes hacen que la realización de este compromiso concreto del Programa de Gobierno sea un imperativo nacional.

También es importante que Irlanda siga trabajando en la transposición a la legislación irlandesa de la Directiva actualizada de la UE sobre redes y sistemas de información II (NIS2) relativa a la ciberseguridad.

El anterior Gobierno irlandés aceptó que esta Directiva representaba un gran paso adelante para la resiliencia cibernética y mejoraría la gestión del riesgo cibernético en toda la Unión, incluso generando mejoras significativas en la capacidad de respuesta a incidentes graves como el ataque al HSE.

Por último, cabe señalar que, si bien Irlanda, a través de su Centro Nacional de Ciberseguridad, está adoptando medidas activas para proteger y defender la seguridad e integridad de los sistemas de red e información del Estado, la administración anterior también aprobó la redacción del Proyecto de Ley Nacional de Ciberseguridad 2024.

Este esquema general del proyecto de ley destaca por la amplia gama de actividades que estarán permitidas, incluido el escaneado de redes de acceso público y el intercambio de datos personales con las autoridades pertinentes. Ahora puede recibir un impulso legislativo añadido tras la publicación del plan de acción de la Comisión para reforzar la ciberseguridad de hospitales y proveedores de asistencia sanitaria.

Dicho esto, cuando se presente el borrador final del proyecto de ley, es muy probable que también ocupen un lugar destacado las preocupaciones persistentes sobre cómo equilibramos la seguridad digital, el impulso de los datos abiertos y el derecho a la intimidad personal en una época de crecientes ciberataques.