Ciberataque ransomware obligó hospitales rumanos volver al papel

Un ransomware desata el caos en el sistema sanitario rumano

En febrero de 2024, Rumanía experimentó una de las crisis sanitarias más singulares de los últimos años cuando un ransomware hospitales paralizó gran parte de su infraestructura médica. El ataque afectó directamente a la plataforma Hipocrate, utilizada por decenas de centros hospitalarios en todo el país como columna vertebral de sus operaciones digitales. Esta interrupción obligó a los profesionales sanitarios a recurrir a métodos tradicionales que parecían olvidados en la era digital.

La magnitud del incidente fue considerable. Aunque el malware identificado como BackMyData infectó directamente a 26 hospitales, el impacto se propagó a más de 100 centros médicos que fueron desconectados de forma preventiva por la Dirección Nacional de Seguridad Cibernética de Rumanía, la DNSC. Esta decisión drástica, aunque necesaria, dejó a miles de médicos y enfermeros sin acceso a sus herramientas digitales convencionales.

La plataforma Hipocrate y su papel crítico en la sanidad rumana

Entender la gravedad del ciberataque Rumanía sanitario requiere comprender la importancia de la plataforma afectada. Hipocrate no era un simple sistema de historiales clínicos, sino que funcionaba como el centro neurálgico de la operación hospitalaria. La plataforma se utilizaba para registrar a los pacientes, solicitar y procesar pruebas diagnósticas, consultar resultados de análisis, gestionar la distribución de medicamentos y coordinar el suministro de recursos médicos.

Este nivel de integración significaba que su caída afectaba prácticamente a todas las funciones críticas de un hospital moderno. Sin acceso a esta herramienta, la coordinación entre departamentos se vio severamente comprometida, y los médicos se enfrentaron a un vacío operativo nunca antes experimentado en sus carreras profesionales.

BackMyData: el malware que paralizó el sector sanitario

El análisis posterior del incidente identificó a BackMyData ataque como el responsable del caos. Este tipo de malware funciona cifrando todos los archivos del sistema, renombrándolos de forma tal que resultan inaccesibles para los administradores. Los cibercriminales tras el ataque exigieron un rescate de 3,5 bitcoins, equivalentes a aproximadamente 175.000 euros al tipo de cambio de febrero de 2024, a cambio de proporcionar la clave de desencriptación.

La naturaleza insidiosa de este ransomware radica en su capacidad de propagación silenciosa. Los atacantes aprovecharon vulnerabilidades en los sistemas de la red hospitalaria para infiltrarse y expandir su presencia antes de activar el cifrado, un procedimiento típico en ataques sofisticados contra infraestructuras críticas.

La respuesta institucional: desconexión preventiva

Ante la propagación del malware, las autoridades de seguridad cibernética hospitales de Rumanía tomaron una decisión que priorizaba contener el daño sobre mantener la operación normal. La DNSC emitió órdenes para que más de 100 hospitales se desconectaran de la red informática de forma inmediata. Aunque esta medida dejó a los centros sin herramientas digitales, permitió aislar la infección y evitar su expansión a otras instituciones.

Esta estrategia de aislamiento de red es una táctica común en caso de grandes brechas de seguridad, pero rara vez se implementa a escala tan masiva en el sector sanitario. La decisión reflejaba la gravedad percibida de la amenaza y la necesidad de evitar un colapso total del sistema de salud nacional.

El regreso a los métodos analógicos

Lo que sucedió en los hospitales rumanos durante los días posteriores al ataque fue una escena única en la medicina contemporánea. Médicos y enfermeros se vieron obligados a abandonar las pantallas y volver a herramientas que muchos creían ya obsoletas. Algunos facultativos solicitaban manualmente a los laboratorios que entregaran los resultados de pruebas en papel impreso. Otros recurrían a hojas de cálculo sin conexión a internet, creadas en computadoras portátiles aisladas de la red. Pero la solución más generalizada fue la más antigua: registrar pacientes a mano.

Durante varios días, una parte significativa de la sanidad rumana funcionó con bolígrafos, cuadernos y sistemas de archivo manual. Los médicos escribían historiales clínicos, medicaciones prescritas, órdenes de pruebas y notas de evolución de pacientes exactamente como lo hacían sus colegas décadas atrás. Esta vuelta forzada al pasado, aunque caótica, demostró que los profesionales sanitarios podían seguir prestando atención a los pacientes incluso sin tecnología.

Recuperación y consecuencias post-incidente

Rumanía adoptó una posición firme: no pagar el rescate exigido por los cibercriminales. En cambio, las autoridades se enfocaron en restaurar los sistemas usando copias de seguridad disponibles. Esta estrategia, aunque arriesgada, resultó efectiva. Según informes posteriores, la mayoría de hospitales logró restablecer sus operaciones casi a la normalidad en aproximadamente cinco días.

Sin embargo, el incidente del incidente ransomware 2024 dejó cicatrices que tardaron semanas en cicatrizar completamente. Toda la información que había sido registrada manualmente en papel tuvo que introducirse nuevamente en los sistemas digitales, un proceso laborioso que requirió horas de trabajo administrativo. Algunos datos se perdieron permanentemente, especialmente aquellos que no se habían trasferido correctamente de los registros manuales a las bases de datos electrónicas.

Lecciones sobre infraestructura crítica y planes de recuperación

El análisis posterior del ataque reveló que no se registraron muertes directas ni daños graves a pacientes, lo cual fue un resultado relativamente afortunado considerando la magnitud de la interrupción. Esta conclusión, sin embargo, no minimiza la seriedad de lo ocurrido ni la vulnerabilidad expuesta en los sistemas de seguridad cibernética hospitales de todo el mundo.

Lo que el incidente demostró de forma contundente es que las infraestructuras sanitarias modernas, por muy sofisticadas que sean, dependen fundamentalmente de dos elementos frecuentemente ignorados: copias de seguridad robustas y planes de recuperación ante desastres bien ensayados. Rumanía tuvo suerte al contar con copias de seguridad accesibles; otros países o instituciones podrían no haber contado con la misma fortuna.

Investigación y responsables del ataque

Las autoridades rumanas nunca atribuyeron públicamente el ataque a un grupo específico de ciberdelincuentes, manteniendo la investigación en un nivel de confidencialidad comprensible tratándose de seguridad nacional. Sin embargo, posteriormente se llevó a cabo una operación internacional contra una banda vinculada al ecosistema del malware BackMyData, resultando en la detención de cuatro ciudadanos rusos fuera del territorio ruso.

La BBC, que realizó una exhaustiva reconstrucción de los eventos, aclaró que estas detenciones no pueden presentarse necesariamente como una resolución directa del ataque hospitalario rumano, aunque reflejan esfuerzos coordinados internacionales contra el crimen cibernético.

Reflexiones finales: tecnología sin resiliencia

La imagen que quedó grabada de aquellos días en febrero de 2024 es profundamente reveladora: hospitales ultramodernos con pantallas inútiles, médicos con batas blancas escribiendo en papel, pacientes siendo atendidos con métodos que sus abuelos habrían reconocido. Este contraste visual subraya una verdad incómoda sobre nuestra dependencia de la tecnología.

El caso rumano sirve como recordatorio crítico para infraestructuras sanitarias en todo el mundo. La digitalización y la interconexión de sistemas son beneficiosas para la eficiencia y la calidad de atención, pero solo cuando existen capas sólidas de protección, redundancia y planes de contingencia. Un ataque de ransomware no solo cifra archivos; expone las frágiles cadenas de suministro de información que sostienen la medicina moderna.

Para hospitales, gobiernos y proveedores de tecnología sanitaria, el incidente de Rumanía ofrece una lección que no puede ignorarse: en la era digital, la verdadera seguridad no se construye solo con firewalls y programas antimalware, sino con preparación, humildad ante la posibilidad del fallo, y la sabiduría de saber que a veces, lápiz y papel pueden ser herramientas tan esenciales como cualquier ordenador.