Editorial: el ciberataque

Augusto Galán Sarmiento MD. MPA 

Director Centro de Pensamiento Así Vamos en Salud 

Se ha guardado un gran silencio sobre el ciberataque descubierto la semana pasada en el país a la empresa IFX Network, que en su página web se exhibe como “una empresa estadounidense presente en más de 17 países y con más de 23 años de experiencia en el mercado de las telecomunicaciones. Somos el Proveedor de Servicios Gestionados número 1 en América Latina y el número 20 a nivel mundial”. En la práctica, IFX Network es un custodio de la data clave que almacenan miles de entidades, con información confidencial, con la cual operan, generan transacciones y crean conocimiento.

El ataque es muy semejante al que en el 2017 afectó a más de 60 fideicomisos del Servicio Nacional de Salud (NHS) del Reino Unido y que se extendió a más de 200.000 sistemas informáticos en 150 países. Ataque que se encuentra analizado en una edición de la Revista de la Asociación Médica Canadiense. El año pasado el NHS se tuvo que recuperar de otro ciberataque que fue de menor magnitud. En nuestro país no podemos olvidar los ataques de este tipo que han tenido grupos del sector salud en los últimos años. El secuestro de información en esta oportunidad compromete a más de 35 entidades del Estado y no se sabe a cuántas privadas.

Por el momento tampoco conocemos qué sistemas se vieron afectados y si fueron aislados tan pronto como el ataque fue detectado. No sabemos si los dispositivos pudieron desconectarlos de la red para evitar una mayor propagación del denominado ransomware o si fueron apagados entonces. Esperamos que se esté haciendo una priorización de los sistemas impactados para su restauración y recuperación. Nos imaginamos que deben estar examinando los sistemas organizacionales existentes de detección o prevención (por ejemplo, antivirus, EDR, IDS, sistema de prevención de intrusiones) y registros. Pensamos que las mesas de trabajo establecidas entre IFX Network y las entidades comprometidas buscan desarrollar y documentar una comprensión preliminar de lo que ocurrió basándose en el análisis inicial. Al menos esas son las recomendaciones que plantea la CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad por sus siglas en inglés) para casos como este.

La prudencia en rendir cuentas sobre lo ocurrido no puede conducir a un ocultamiento en relación con los riesgos que se ciernen sobre sectores sociales como el de la Salud y la Justicia, que manejan obviamente asuntos sensibles y confidenciales. Por lo pronto tenemos rumores y no hay información concreta sobre el impacto real del ataque.

Si la información que ha trascendido a la opinión pública es cierta, y el Ministerio de Salud, la ADRES y la Superintendencia de Salud han sido afectadas, surgen múltiples preguntas sobre el alcance de la data y la información que se encuentran secuestradas.

Si no hay EPS ni IPS comprometidas como consecuencia del ciberataque (como parece que es la situación) las historias clínicas de los pacientes y usuarios del Sistema General de Seguridad Social en Salud (SGSSS) no deberían estar en peligro. Hasta el momento no ha habido reportes de colapsos masivos de citas o de autorizaciones médicas, lo cual daría la razón a que no hay compromiso de EPS e IPS. (A propósito, no podemos dejar pasar este punto para recordar que la propuesta de reforma del Gobierno Nacional, plantea el manejo unificado del Sistema de Información del SGSSS por parte del Estado, ¿se imaginan en las que estaríamos?)

Pero dicho lo anterior, existe otra información sensible en esas entidades mencionadas del sector salud que sí puede encontrarse en riesgo y afectar la operación del SGSSS. Se hallan en ellas veintidós bases de datos, entre las cuales se encuentran los registros individuales de la BDUA, los de nacimientos y defunciones, los de profesionales de la salud, las tutelas y las variaciones de afiliación, además de la data para el seguimiento de indicadores de desempeño del SGSSS. ¿Se comprometieron los procesos de compensación, derivados de las novedades de los reportes de la afiliación de cotizantes y beneficiarios, para definir las UPC asignadas a cada EPS mensualmente? Además, el sistema de información de estas bases de datos estaba estructurado para nutrir una copia de seguridad periódica ¿se le había hecho el mantenimiento y las actualizaciones indicados? ¿funcionaron? ¿funcionan las copias de seguridad? En el año 2021 hubo un ataque a esos sistemas de información que no prosperó. ¿La entidad encargada reforzó los controles? ¿Minimizó los riesgos? ¿Se ha hecho la vigilancia, los controles y las copias de seguridad pertinentes durante el último año a esos sistemas?

Y quedan preguntas hacia futuro. ¿IFX Network da las garantías requeridas luego de superar este atolladero? ¿Si es la 20ª empresa en su campo a nivel mundial, hay otras mejores que se podrían contratar? ¿No sería mejor tener varias opciones para que no se concentre tanta información en una sola empresa?