Cuando los hackers recurren al chantaje

Caroline Eisenmann es un exbecario de HBR.

Paul Layman ha sido el CEO del Hospital Sunnylake durante cinco años. Llegó con la visión de introducir tecnología de vanguardia en un pequeño hospital cambiando de
de registros en papel a registros médicos electrónicos (EMR). El éxito de su iniciativa ha hecho que Sunnylake pase de ser un centro de atención comunitario remanso a convertirse en un modelo a seguir para los hospitales pequeños de todo el mundo.

Al revisar tranquilamente su correo electrónico un viernes por la tarde, Paul encuentra un mensaje analfabeto de un remitente desconocido: La seguridad de nuestra red es mala. Pero podemos ayudarlo. Por 100 000 en efectivo, aseguraremos que su pequeño hospital no sufra ningún desastre.

La amenaza implícita en el correo electrónico no provocó ansiedad en Paul. Tenía mucha fe en Jacob Dale, su joven y serio director de TI. Mientras se desarrollaba el sistema, Paul insistió repetidamente en que la privacidad de los pacientes era fundamental. Jacob le había explicado de manera tranquila y exhaustiva que digitalizar los discos también los haría más seguros. Así que Paul se olvidó del asunto durante el fin de semana. Pero a las 8:00 de la mañana del lunes recibió otro correo electrónico del mismo remitente, con el asunto que decía Nos lo advertimos. El día más difícil de su carrera estaba a punto de empezar.

***

IT había diseñado la red de Sunnylake para que solo los médicos, enfermeras y administradores que los necesitaran pudieran acceder a los registros. Hoy, al parecer, algo ha ido muy mal. Por todo el hospital, los médicos que intentaban acceder a los historiales de los pacientes no vieron nada más que Acceso denegado en sus lectores de EMR.

Jacob estaba en la oficina de Paul cuando llegó el tercer correo electrónico. En completo silencio, los dos se quedaron mirando la pantalla del ordenador de Paul. Apostamos a que quiere recuperar sus cosas. Probablemente debería haberlas protegido mejor. Por el pequeño precio de 100 000, haremos que desaparezca.

«¿Qué diablos pasa?» Exigía Paul. «Tengo médicos haciendo disturbios en los pasillos».

«Es algún tipo de ransomware que afecta a todo el sistema», murmuró Jacob. «En lugar de atracar a un par de personas por 50 dólares cada una, estos tipos están deteniendo a toda la organización. Quieren 100 000 dólares para la herramienta de descifrado».

Todo su equipo estaba trabajando para restablecer el acceso. Actualmente, Sunnylake no tenía forma de entregar los registros a los médicos que los necesitaban con urgencia para atender a los pacientes. El hospital estaba a punto de paralizarse.

«Este es el equivalente digital del combate cuerpo a cuerpo», dijo Jacob. «No hay una solución rápida para un problema como este».

Paul asintió con la cabeza hacia la pantalla. «Nos han ofrecido una solución rápida», dijo.

«No está pensando seriamente en pagar a estos tipos, ¿verdad?» Preguntó Jacob con incredulidad. «Si pagamos una vez, seremos un objetivo para siempre. No lo haga. No está bien».

***

«Paul, tenemos que hacer que esto desaparezca», dijo Lisa Mankins, asesora legal principal de Sunnylake. «Nuestra exposición legal en este tipo de situaciones es alucinante. Cuanto más dure esto, mayor será el riesgo. Literalmente, cada segundo es una carga».

«Como me lo explicó Jacob, la TI necesita cierto tiempo para recuperar el control», dijo Paul.

«No tenemos ese tiempo», insistió Lisa. «Ya lo sabe. Los honorarios legales de las demandas por negligencia podrían costarle a este hospital cientos de miles de dólares, quizás millones. Cien mil dólares palidecen junto con los daños a los que podríamos enfrentarnos si esperamos a que pase. Creo que es práctico —incluso moral— pagar el rescate».

Apenas había salido de la oficina de Paul cuando George Knudsen, el jefe de gabinete, irrumpió. «¿Tiene alguna idea de lo que esto afectará a nuestra reputación si algún periodista se entera de ello?» exigió. «Esto hace que todo su personal parezca incompetente, ¡o algo peor! El papel podía haber sido lento, pero era fiable. Si no lo arregla pronto, Paul, no volveré a tocar uno de esos malditos dispositivos».