Al menos 750 hospitales de EE. UU. sufrieron interrupciones durante la interrupción de CrowdStrike del año pasado, según un estudio

Cuando, hace un año, una actualización defectuosa del software de la empresa de ciberseguridad CrowdStrike inutilizó millones de ordenadores en todo el mundo y los sumió en una espiral de constantes reinicios, el coste global de todos esos equipos dañados equivalió a uno de los peores ciberataques de la historia. Algunas estimaciones del daño total a nivel mundial alcanzan los miles de millones de dólares.

Ahora, un nuevo estudio realizado por un equipo de investigadores de ciberseguridad médica ha dado los primeros pasos para cuantificar el coste del desastre de CrowdStrike, no en dólares, sino en daños potenciales para hospitales y sus pacientes en todo Estados Unidos. Revela evidencia de que los servicios de cientos de hospitales se vieron interrumpidos durante la interrupción y plantea preocupación por los posibles efectos graves para la salud y el bienestar de los pacientes.

Investigadores de la Universidad de California en San Diego conmemoraron hoy el primer aniversario de la catástrofe de CrowdStrike al publicar un artículo en JAMA Network Open, una publicación del Journal of the American Medical Association Network, que intenta por primera vez crear una estimación aproximada de la cantidad de hospitales cuyas redes se vieron afectadas por ese colapso de TI el 19 de julio de 2024, así como qué servicios en esas redes parecieron haber sido interrumpidos.

Al analizar las partes de las redes hospitalarias expuestas a internet antes, durante y después de la crisis, detectaron que al menos 759 hospitales en EE. UU. sufrieron algún tipo de interrupción de la red ese día. Descubrieron que más de 200 de esos hospitales sufrieron interrupciones que afectaron directamente a los pacientes, desde historiales médicos y ecografías inaccesibles hasta sistemas de monitorización fetal que dejaron de funcionar. De las 2232 redes hospitalarias analizadas, los investigadores detectaron que el 34 % sufrió algún tipo de interrupción.

Todo esto indica que la interrupción del servicio de CrowdStrike podría haber sido un "problema grave de salud pública", argumenta Christian Dameff, médico de urgencias de la UCSD e investigador de ciberseguridad, y uno de los autores del artículo. "Si hubiéramos tenido los datos de este artículo hace un año cuando ocurrió", añade, "creo que nos habríamos preocupado mucho más por el impacto real que tuvo en la atención médica estadounidense".

CrowdStrike, en una declaración a WIRED, criticó duramente el estudio de la UCSD y la decisión de JAMA de publicarlo, calificándolo de "ciencia basura". Señalan que los investigadores no verificaron que las redes afectadas utilizaran Windows o el software de CrowdStrike, y señalan que el servicio en la nube Azure de Microsoft sufrió una interrupción importante ese mismo día, lo que podría haber sido responsable de algunas de las interrupciones en la red hospitalaria. "Sacar conclusiones sobre el tiempo de inactividad y el impacto en los pacientes sin verificar los hallazgos con ninguno de los hospitales mencionados es completamente irresponsable y científicamente indefendible", se lee en la declaración.

“Si bien rechazamos la metodología y las conclusiones de este informe, reconocemos el impacto que tuvo el incidente hace un año”, añade el comunicado. “Como dijimos desde el principio, ofrecemos nuestras más sinceras disculpas a nuestros clientes y a los afectados, y seguimos enfocándonos en fortalecer la resiliencia de nuestra plataforma y de la industria”.

En respuesta a las críticas de CrowdStrike, los investigadores de la UCSD afirman que mantienen sus conclusiones. La interrupción del servicio de Azure detectada por CrowdStrike, señalan, comenzó la noche anterior y afectó principalmente al centro de EE. UU., mientras que las interrupciones que midieron comenzaron aproximadamente a la medianoche, hora de la costa este de EE. UU., del 19 de julio —aproximadamente la hora en que la actualización defectuosa de CrowdStrike empezó a bloquear los ordenadores— y afectaron a todo el país. (Microsoft no respondió de inmediato a una solicitud de comentarios). «Desconocemos otra hipótesis que explique interrupciones del servicio simultáneas y geográficamente distribuidas dentro de las redes hospitalarias, como la que observamos aquí», aparte de la caída de CrowdStrike, escribe el profesor de informática de la UCSD, Stefan Savage, uno de los coautores del artículo, en un correo electrónico a WIRED. (JAMA declinó hacer comentarios en respuesta a las críticas de CrowdStrike).

De hecho, los investigadores describen su recuento de interrupciones hospitalarias detectadas como solo una estimación mínima, no una medida del radio de explosión real de los accidentes de CrowdStrike. Esto se debe en parte a que solo pudieron analizar aproximadamente un tercio de los más de 6000 hospitales de Estados Unidos, lo que sugiere que el número real de centros médicos afectados podría haber sido varias veces mayor.

Los hallazgos de los investigadores de la UCSD se derivaron de un proyecto más amplio de escaneo de internet, llamado Ransomwhere?, financiado por la Agencia de Proyectos de Investigación Avanzada para la Salud y lanzado a principios de 2024 con el objetivo de detectar interrupciones del servicio causadas por ransomware en hospitales. Como resultado de dicho proyecto, ya estaban investigando hospitales estadounidenses utilizando las herramientas de escaneo ZMap y Censys cuando se produjo el desastre de CrowdStrike en julio de 2024.

En los 759 hospitales donde los investigadores detectaron que un servicio se desconectó el 19 de julio, sus escaneos también les permitieron analizar qué servicios específicos parecían estar inactivos, utilizando herramientas públicas como Censys y Lantern Project para identificar diferentes servicios médicos, así como la verificación manual de algunos servicios web que podían visitar. Descubrieron que 202 hospitales experimentaron interrupciones en servicios directamente relacionados con los pacientes. Estos servicios incluían portales para el personal utilizados para consultar los historiales médicos de los pacientes, sistemas de monitorización fetal, herramientas para la monitorización remota de la atención al paciente, sistemas seguros de transferencia de documentos que permiten transferir a los pacientes a otro hospital, sistemas de información prehospitalaria como las herramientas que permiten compartir los resultados de las pruebas iniciales de una ambulancia a una sala de emergencias para pacientes que requieren tratamientos urgentes, y los sistemas de almacenamiento y recuperación de imágenes que se utilizan para poner los resultados de los escaneos a disposición de médicos y pacientes.

"Si un paciente sufriera un derrame cerebral y el radiólogo necesitara mirar rápidamente una imagen escaneada, sería mucho más difícil llevarla del tomógrafo al radiólogo para que la leyera", ofrece Dameff como un ejemplo hipotético.

Los investigadores también descubrieron que 212 hospitales sufrieron interrupciones en sistemas "operativamente relevantes", como plataformas de programación de personal, sistemas de pago de facturas y herramientas para gestionar los tiempos de espera de los pacientes. En otra categoría de servicios "relevantes para la investigación", el estudio reveló que 62 hospitales sufrieron interrupciones. La mayor proporción de interrupciones, según los hallazgos de los investigadores, correspondió a la categoría "Otros", que incluía servicios fuera de línea que no pudieron identificar completamente en sus análisis en 287 hospitales, lo que sugiere que algunos de ellos también podrían haber sido servicios relevantes para el paciente no contabilizados.

“Nada en este artículo indica que el accidente cerebrovascular de alguien se haya diagnosticado erróneamente ni que haya habido un retraso en la atención de alguien que recibió antibióticos vitales, por ejemplo. Pero podría haberlo habido”, afirma Dameff. “Creo que hay mucha evidencia de este tipo de alteraciones. Sería difícil argumentar que las personas no se vieron afectadas a un nivel potencialmente significativo”.

Los hallazgos del estudio amplían la perspectiva de los informes anecdóticos sobre cómo la interrupción del servicio de CrowdStrike afectó a los centros médicos, que ya habían surgido durante el último año. WIRED informó en su momento que la red hospitalaria de Baylor, un importante sistema de salud sin fines de lucro, y Quest Diagnostics no pudieron procesar análisis de sangre rutinarios. El sistema hospitalario Mass General Brigham, del área de Boston, supuestamente tuvo que reactivar 45,000 de sus computadoras, cada una de las cuales requirió una reparación manual que tardó entre 15 y 20 minutos.

En su estudio, los investigadores también intentaron medir aproximadamente la duración del tiempo de inactividad de los servicios hospitalarios afectados por la interrupción de CrowdStrike, y descubrieron que la mayoría se recuperó relativamente rápido: alrededor del 58 por ciento de los servicios hospitalarios volvieron a estar en línea en seis horas, y solo el 8 por ciento tardó más de 48 horas en recuperarse.

Esta interrupción es mucho más breve que las interrupciones causadas por ciberataques reales que han afectado a hospitales, señalan los investigadores: Ataques de malware masivos como NotPetya y WannaCry en 2017, así como el ataque de ransomware Change Healthcare que afectó a la filial de United Healthcare, proveedora de pagos, a principios de 2024, provocaron el cierre de numerosos hospitales en Estados Unidos (o, en el caso de WannaCry, en el Reino Unido) durante días o incluso semanas en algunos casos. Sin embargo, los efectos de la debacle de CrowdStrike merecen ser comparados con los desastres digitales intencionales que han afectado a los hospitales, argumentan los investigadores.

“La duración de las interrupciones varía, pero la magnitud, la cantidad de hospitales afectados en todo el país, la escala y la intensidad potencial de la interrupción son similares”, afirma Jeffrey Tully, pediatra, anestesiólogo e investigador en ciberseguridad, coautor del estudio.

Un retraso de horas, o incluso minutos, puede aumentar las tasas de mortalidad de pacientes con infarto de miocardio y accidente cerebrovascular, afirma Josh Corman, investigador de ciberseguridad especializado en ciberseguridad médica del Instituto de Seguridad y Tecnología y exmiembro del CISA que revisó el estudio de la UCSD. Esto significa que incluso una interrupción breve de los servicios relacionados con los pacientes en cientos de hospitales podría tener consecuencias concretas y muy perjudiciales, aunque difíciles de medir.

Además de obtener una primera estimación del posible impacto en la salud de los pacientes en este incidente, el equipo de la UCSD enfatiza que el verdadero objetivo de su estudio es demostrar que, con las herramientas adecuadas, es posible monitorear y aprender de estas interrupciones masivas de la red médica. El resultado podría ser una mejor comprensión de cómo prevenir, o en caso de interrupciones más intencionales causadas por ciberataques y ransomware, proteger a los hospitales de sufrirlas en el futuro.