Just_Super/Getty Images/iStockphoto
Just_Super/Getty Images/iStockphoto
La Dra. Margaret Parsons, una de los tres dermatólogos de un consultorio de dermatología de 20 personas en Sacramento, California, está en problemas.
Parsons dijo que ella y sus colegas no han podido facturar los servicios electrónicamente desde un ciberataque del 21 de febrero a Change Healthcare, una empresa de procesamiento de pagos médicos previamente desconocida.
Dijo que escuchó que el procesador de pagos de Medicare de California, Noridian Healthcare Solutions, no aceptaba facturas impresas desde principios de esta semana. También estimó que las facturas en papel tardan entre tres y seis meses en pagarse.
“Vamos a tener problemas muy rápidamente y será muy estresante”, dijo en una entrevista con KFF Health News.
La empresa pirateada maneja “14 mil millones de transacciones clínicas, financieras y operativas anualmente”, según su sitio web.
Un portavoz de la Asociación Médica de California dijo el 7 de marzo que los Centros de Servicios de Medicare y Medicaid acordaron en una reunión alentar a los procesadores de pagos como Noridian a aceptar facturas en papel. Un portavoz de Noridian remitió las preguntas a CMS.
La Asociación Estadounidense de Hospitales calificó el presunto ataque de ransomware contra Change Healthcare, parte de la división Optum del gigante de seguros UnitedHealth Group, como “el incidente más grave y significativo de su tipo contra el sistema de atención médica de EE. UU. en la historia”. El ataque expone la vulnerabilidad generalizada del sistema de salud a los piratas informáticos y las fallas en la respuesta de la administración Biden, mientras los consultorios médicos, los sistemas hospitalarios y las farmacias luchan por encontrar soluciones.
Hasta ahora, los gobiernos se han basado en estándares más voluntarios para proteger las redes de los sistemas de salud, dijo Bo Woods, cofundador del grupo de defensa cibernética I Am The Cavalry. Pero “el modelo completamente voluntario y bien intencionado claramente no funciona”, afirmó. El gobierno federal necesita invertir más dinero y centrarse en el tema, afirmó.
Resolver esta crisis llevará tiempo. Al comparar los ataques de CHANGE con otros ataques a partes del sistema de atención médica, “encontramos que la recuperación de los sistemas centrales generalmente demora al menos 30 días”, dijo John Riggi, Asesor Nacional en Ciberseguridad de la Asociación de Hospitales.
UnitedHealth Group dijo en un comunicado del 7 de marzo que dos servicios relacionados con pagos electrónicos y facturación médica se restablecerán a finales de este mes. “Mientras trabajamos para restaurar estos sistemas, recomendamos encarecidamente a nuestros proveedores y clientes pagadores que utilicen las soluciones alternativas adecuadas que hemos establecido”, dijo la compañía.
“Estamos decididos a resolver este problema lo más rápido posible”, dijo el director ejecutivo de la empresa, Andrew Whitty.
Mientras tanto, los proveedores de atención médica y los pacientes están pagando el precio. Hay muchos informes de personas que tienen que pagar de su bolsillo recetas importantes. Los médicos privados son especialmente vulnerables.
“Si no tienes ingresos, ¿cómo vas a pagar todo, incluido el personal, los suministros y el seguro contra negligencia?”, dice el Dr. Steven Sisselman, médico de atención primaria independiente en Long Island, Nueva York. “Es imposible.”
Jackson Health System en el condado de Miami-Dade, Florida, podría perder hasta $30 millones en pagos si se corta la electricidad durante un mes, dijo la directora de ingresos, Miriam Torres. Algunas compañías de seguros ofrecen enviarle un cheque por correo.
El programa de ayuda anunciado por UnitedHealth y el gobierno federal ha sido criticado por los proveedores de atención médica, especialmente los hospitales. Sisselman dijo que Optum le ofreció un préstamo de 540 dólares a la semana para su clínica, que según él genera varios cientos de miles de dólares al mes. Otros proveedores de atención médica y hospitales entrevistados por KFF Health News dijeron que las ofertas de la aseguradora eran igualmente escasas.
La compañía dijo en un comunicado del 7 de marzo que está ofreciendo nuevas opciones de financiamiento a los proveedores.
Los proveedores presionan a los gobiernos para que actúen
El 5 de marzo, casi dos semanas después de que la revista Change informara por primera vez sobre lo que inicialmente llamó un “problema” de ciberseguridad, el Departamento de Salud y Servicios Humanos anunció varios programas de asistencia para proveedores de atención médica.
Una recomendación es que las compañías de seguros paguen por adelantado las reclamaciones de Medicare. Esto es similar al programa que apoyó al sistema de salud en los primeros días de la pandemia. Pero a los médicos y otras partes interesadas les preocupa que sólo ayude a los hospitales, no a las clínicas privadas ni a los proveedores de atención médica.
Anders Gilberg, cabildero de la Medical Group Management Association, que representa los consultorios médicos. Publicado en X(anteriormente conocido como Twitter) argumentó que el gobierno debería “exigir a los contratistas que amplíen el uso de pagos por adelantado a las consultas médicas de una manera similar a la que se proporciona a los hospitales”.
El portavoz del HHS, Jeff Nesbitt, dijo que la administración “reconoce el impacto del ataque” y está “evaluando activamente su autoridad para apoyar a estos proveedores de atención médica críticos en este momento y está trabajando estrechamente con cada estado”. ” Dijo que Medicare está presionando a UnitedHealth Group para “ofrecer mejores opciones de pagos provisionales a los proveedores”.
Otra idea del gobierno federal es alentar a los proveedores a cambiar de proveedor de Change. Sisselman dijo que espera comenzar a presentar reclamos a través del nuevo proveedor dentro de 24 a 48 horas. Sin embargo, esta no es una solución viable para todos.
Torres dijo que UnitedHealth y los reguladores han sugerido que los proveedores cambien las cámaras de compensación, presenten reclamaciones en papel o aceleren los pagos, pero fue en vano.
“Es muy poco realista”, dijo sobre el consejo. “Si tienes sus herramientas de procesamiento de reclamos, no hay nada que puedas hacer”.
Mary Mayhew, presidenta de la Asociación de Hospitales de Florida, dijo que los miembros de la asociación han creado un sistema sofisticado que se basa en Change Healthcare. El proceso de transición podría durar 90 días, durante los cuales se interrumpiría el flujo de caja, afirmó. “No es como accionar un interruptor”.
Nesbitt reconoció que cambiar de cámara de compensación sería difícil, pero dijo: “La primera prioridad es reiniciar completamente el flujo de reclamaciones”. Medicare está dando instrucciones a los contratistas y asesorando a las compañías de seguros para que faciliten estos cambios, añadió.
Los líderes de la atención médica, incluidos los directores estatales de Medicaid, están pidiendo a la administración Biden que trate el ataque de CHANGE como una pandemia. La pandemia es una amenaza muy grave para el sistema de atención médica y requiere una flexibilidad extraordinaria por parte de los reguladores y los programas de seguros gubernamentales.
Más allá de la cuestión financiera (que es crítica), los proveedores de atención médica y otras partes interesadas dicen que falta información básica sobre el ataque. UnitedHealth Group y la Asociación Estadounidense de Hospitales realizaron conferencias telefónicas e hicieron anuncios sobre el incidente, pero muchos todavía sienten que no saben nada.
Rigi de la AHA dijo que le gustaría saber más de UnitedHealth Group. Dijo que es natural que los conglomerados mantengan cierta información privada, por ejemplo cuando no ha sido verificada o cuando cooperan con las autoridades. Pero los hospitales quieren saber cómo se violaron los datos para protegerse mejor.
“La industria exige más información para, en última instancia, proteger a sus propias organizaciones”, afirmó.
Los rumores se difundieron.
“Es un poco difícil. Llega un día en el que hay que elegir a quién creer”, dijo a KFF Health News Saad Chaudhry, ejecutivo de Luminis Health, un sistema hospitalario de Maryland. “¿Le cree a estos ladrones? ¿Le cree a la misma organización que se preocupa por su imagen y trata de minimizarla?”
¿Qué pasa después?
La revista Wired informó que alguien pagó 22 millones de dólares en Bitcoin al grupo de ransomware que se cree que está detrás del ataque. Si realmente fue un rescate para resolver algún aspecto de la intrusión, es una gran victoria para los piratas informáticos.
Los expertos en ciberseguridad dicen que algunos de los hospitales atacados enfrentaron demandas de rescate que oscilaban entre al menos 10.000 dólares y hasta 10 millones de dólares. Si a los piratas informáticos de Change se les paga una gran cantidad de dinero, esto podría provocar más ataques.
“Cuando hay oro en las montañas, hay una fiebre del oro”, dijo Josh Corman, otro cofundador de I Am The Cavalry y ex funcionario federal de ciberseguridad.
A largo plazo, este ataque refuerza las dudas sobre cómo las empresas privadas que conforman el sistema de atención médica de Estados Unidos y el gobierno que las regula se defienden contra las amenazas cibernéticas. Los ataques son frecuentes, y se cree que los ladrones y piratas informáticos cuentan con el apoyo o el refugio de países como Rusia y Corea del Norte, derribando sistemas del Servicio Nacional de Salud de Gran Bretaña, gigantes farmacéuticos como Merck y numerosos hospitales.
El FBI informó de 249 ataques de ransomware a organizaciones médicas y de salud pública en 2023, pero Corman cree que la cifra es mucho mayor.
Los expertos en ciberseguridad dicen que los esfuerzos del gobierno federal para proteger el sistema de salud son poco sistemáticos. Aún no está claro cómo se hackeó Change, pero los expertos advierten que podría haber llegado a través de enlaces de phishing en correos electrónicos o canales más inusuales. Eso significa que los reguladores deberán considerar endurecer todo tipo de productos.
Un ejemplo de dónde los esfuerzos para reparar estas defensas han sido, en el mejor de los casos, lentos es con respecto a los dispositivos médicos. Los equipos con software obsoleto pueden proporcionar una vía para que los piratas informáticos ingresen a la red de un hospital o simplemente se vuelvan menos funcionales.
La FDA aumentó recientemente su autoridad para evaluar y emitir avisos de seguridad relacionados con las defensas digitales de los dispositivos médicos. Pero eso no significa que se retirarán los equipos vulnerables de los hospitales. Los productos a menudo no se utilizan debido al costo de interrumpir su uso o reemplazarlos.
El senador Mark Warner (D-Va.) propuso anteriormente un programa tipo “Dinero por chatarra” que pagaría a los hospitales por actualizaciones de ciberseguridad en equipos médicos más antiguos, dijo Rachel Cohen, portavoz del senador Mark Warner. Nunca se consideró seriamente. “. Rigi dijo que un programa de este tipo podría tener sentido, dependiendo de cómo se implemente.
Las debilidades del sistema son generalizadas y a menudo las autoridades no las notan de inmediato. Incluso algo tan mundano como un sistema de calefacción y refrigeración puede piratearse y verse comprometido en la red de Internet de un hospital.
Pero fortalecer las defensas requiere más personas y recursos, que a menudo no están disponibles. En 2017, Woods y Corman ayudaron a redactar un informe del HHS que examinaba la preparación digital en la atención médica. Como parte de la investigación, se descubrió que, si bien algunos hospitales ricos tenían el personal y los recursos de tecnología de la información para proteger sus sistemas, la mayoría no contaba con personal de seguridad dedicado. Corman llama a estos hospitales “objetivo de los ricos pero vulnerables a los ataques cibernéticos”.
“La demanda está ahí y ellos entienden su importancia”, dijo Rigi. “El problema es la financiación”.
El HHS propone exigir defensas cibernéticas mínimas para que los hospitales participen en Medicare, una importante fuente de ingresos para toda la industria. Sin embargo, Rigi dice que la AHA no apoya esto.
“Nos oponemos a mandatos sin financiación y nos oponemos a la imposición de sanciones tan duras”, afirmó.
KFF Health News es uno de los programas operativos principales de KFF, una sala de redacción nacional que produce periodismo en profundidad sobre temas de salud y una fuente independiente de investigación, encuestas y periodismo sobre políticas de salud. Obtenga más información sobre KFF aquí.
Fuente: https://www.npr.org/sections/health-shots/2024/03/09/1237038928/health-industry-ransomware-cyberattack-change-healthcare-optum-uhc-united