Margaret Parsons, una de los tres dermatólogos de un consultorio de 20 personas en Sacramento, California, está en un aprieto.
Desde un Ciberataque del 21 de febrero En una empresa de procesamiento de pagos médicos anteriormente poco conocida, Change Healthcare, dijo Parsons, ella y sus colegas no han podido facturar electrónicamente sus servicios.
Escuchó que Noridian Healthcare Solutions, el procesador de pagos de Medicare de California, no aceptaba reclamaciones en papel desde principios de esta semana, dijo. Y las reclamaciones en papel pueden tardar de tres a seis meses en dar lugar a un pago de todos modos, estimó.
"Tendremos problemas en muy poco tiempo y estamos muy estresados", dijo en una entrevista con KFF Health News.
Un portavoz de la Asociación Médica de California dijo el 7 de marzo que los Centros de Servicios de Medicare y Medicaid habían acordado en una reunión alentar a los procesadores de pagos como Noridian a aceptar reclamaciones en papel. Un portavoz de Noridian remitió las preguntas a CMS.
La Asociación Americana de Hospitales llama a la presunto ataque de ransomware en Change Healthcare, una unidad de la división Optum del gigante asegurador UnitedHealth Group, "el incidente más significativo y con mayores consecuencias de su tipo contra el sistema de atención médica de Estados Unidos en la historia". Si bien las consultas médicas, los sistemas hospitalarios y farmacias Mientras luchan por encontrar soluciones alternativas, el ataque está exponiendo la amplia vulnerabilidad del sistema de salud a los piratas informáticos, así como las deficiencias en la respuesta de la administración Biden.
Hasta la fecha, el gobierno se ha basado en estándares más voluntarios para proteger las redes del sistema de atención médica, dijo Beau Woods, cofundador del grupo de defensa cibernética I Am The Cavalry. Pero "el modelo puramente opcional, de hacer esto con la bondad de su corazón, claramente no está funcionando", afirmó. El gobierno federal necesita dedicar más fondos y más atención al problema, afirmó.
La crisis tardará en resolverse. Al comparar el ataque Change con otros contra partes del sistema de atención médica, "hemos visto que generalmente se necesita un mínimo de 30 días para restaurar los sistemas centrales", dijo Juan Riggiasesor nacional en ciberseguridad de la asociación de hospitales.
En una declaración del 7 de marzo, UnitedHealth Group dijo que dos servicios, relacionados con pagos electrónicos y reclamos médicos, se restablecerían más adelante en el mes. "Mientras trabajamos para restaurar estos sistemas, recomendamos encarecidamente a nuestros clientes proveedores y pagadores que utilicen las soluciones alternativas que hemos establecido", dijo la compañía.
"Estamos decididos a corregir esto lo más rápido posible", dijo el director ejecutivo de la empresa, Andrew Witty.
Mientras tanto, los proveedores y los pacientes están pagando el precio. Han sido comunes los informes de personas que pagan de su bolsillo para surtir recetas vitales. Los consultorios médicos independientes son particularmente vulnerables.
"¿Cómo se puede pagar al personal, los suministros, el seguro contra negligencias, todo esto, sin ingresos?" dijo Stephen Sisselman, médico de atención primaria independiente en Long Island, Nueva York. "Es imposible."
Jackson Health System, en el condado de Miami-Dade, Florida, podría perder hasta $30 millones en pagos si la interrupción dura un mes, dijo Myriam Torres, su director de ingresos. Algunas aseguradoras han ofrecido enviar cheques en papel por correo.
Programas de ayuda anunciados por tanto UnitedHealth y el gobierno federal han sido criticados por los proveedores de salud, especialmente los hospitales. Sisselman dijo que Optum le ofreció a su práctica, que según él tiene ingresos de cientos de miles de dólares al mes, un préstamo de 540 dólares a la semana. Otros proveedores y hospitales entrevistados por KFF Health News dijeron que las ofertas de la aseguradora eran igualmente insignificantes.
En su comunicado del 7 de marzo, la compañía dijo que ofrecería nuevas opciones de financiamiento a los proveedores.
Los proveedores presionan al gobierno para que actúe
El 5 de marzo, casi dos semanas después de que Change informara por primera vez lo que inicialmente llamó un "problema" de ciberseguridad, el Departamento de Salud y Servicios Humanos anunció varios programas de asistencia para proveedores de salud.
Una recomendación es que las aseguradoras anticipen los pagos de las reclamaciones de Medicare, similar a un programa que ayudó a los sistemas de salud al principio de la pandemia. Pero a los médicos y otras personas les preocupa que eso ayudaría sólo a los hospitales, no a los consultorios ni a los proveedores independientes.
Anders Gilbergcabildero de la Asociación de Gestión de Grupos Médicos, que representa los consultorios médicos, publicado en Xanteriormente conocido como Twitter, que el gobierno "debe exigir a sus contratistas que extiendan la disponibilidad de pagos acelerados a los consultorios médicos de manera similar a como se ofrecen a los hospitales".
El portavoz del HHS, Jeff Nesbit, dijo que la administración "reconoce el impacto" del ataque y está "observando activamente su autoridad para ayudar a apoyar a estos proveedores críticos en este momento y trabajando con los estados para hacer lo mismo". Dijo que Medicare está presionando a UnitedHealth Group para "ofrecer mejores opciones de pagos provisionales a los proveedores".
Otra idea del gobierno federal es alentar a los proveedores a que se alejen de Change. Sisselman dijo que esperaba comenzar a presentar reclamos a través de un nuevo proveedor dentro de 24 a 48 horas. Pero no es una solución viable para todos.
Torres dijo que las sugerencias de UnitedHealth y los reguladores de que los proveedores cambien las cámaras de compensación, presenten reclamaciones en papel o aceleren los pagos no están ayudando.
"Es muy poco realista", dijo sobre el consejo. "Si tienes su herramienta de procesamiento de reclamos, no hay nada que puedas hacer".
María Mayhew, presidenta de la Asociación de Hospitales de Florida, dijo que sus miembros han creado sistemas sofisticados que dependen de Change Healthcare. Los procesos de cambio podrían tardar 90 días, durante los cuales no tendrán flujo de caja, afirmó. "No es como accionar un interruptor".
Nesbit reconoció que cambiar de cámara de compensación es difícil, "pero la primera prioridad debería ser reanudar el flujo completo de reclamaciones", dijo. Medicare ha ordenado a sus contratistas y aconsejado a las aseguradoras que faciliten tales cambios, añadió.
Los líderes de la atención médica, incluidos los directores estatales de Medicaid, han pedido a la administración Biden que trate el ataque del Cambio de manera similar a la pandemia: una amenaza al sistema de salud tan grave que exige una flexibilidad extraordinaria por parte de los reguladores y programas de seguros gubernamentales.
Más allá de las cuestiones monetarias, por muy críticas que sean, los proveedores y otros dicen que carecen de información básica sobre el ataque. UnitedHealth Group y la Asociación Estadounidense de Hospitales realizaron llamadas y publicaron comunicados sobre el incidente; sin embargo, muchos todavía sienten que están a oscuras.
Riggi de la AHA quiere más información de UnitedHealth Group. Dijo que es razonable que el conglomerado mantenga cierta información en secreto, por ejemplo si no está verificada o para ayudar a las autoridades. Pero a los hospitales les gustaría saber cómo se perpetró la infracción para poder reforzar sus propias defensas.
"El sector está pidiendo a gritos más información, en última instancia para proteger a sus propias organizaciones", afirmó.
Los rumores han proliferado.
"Las cosas se vuelven un poco difíciles: cualquier día tendrás que elegir a quién creer", dijo a KFF Health News Saad Chaudhry, ejecutivo del sistema hospitalario de Maryland Luminis Health. "¿Le cree a estos ladrones? ¿Le cree a la propia organización, que depende todo de su imagen pública, que tiene incentivos para minimizar este tipo de cosas?"
¿Qué pasa después?
Revista cableada reportado que alguien pagó a la banda de ransomware que se cree está detrás del ataque 22 millones de dólares en bitcoins. Si realmente se trató de un rescate destinado a resolver algún aspecto de la infracción, es una bonanza para los piratas informáticos.
Los expertos en ciberseguridad dicen que algunos hospitales que han sufrido ataques han enfrentado demandas de rescate por tan sólo 10.000 dólares y hasta 10 millones de dólares. Un gran pago a los hackers de Change podría incentivar más ataques.
"Cuando hay oro en las colinas, hay fiebre del oro", dijo Josh Cormanotro cofundador de I Am The Cavalry y exfuncionario federal de ciberseguridad.
A más largo plazo, el ataque intensifica las preguntas sobre cómo las empresas privadas que componen el sistema de salud estadounidense y el gobierno que las regula se defienden contra las ciberamenazas. Los ataques han sido comunes: ladrones y piratas informáticos, a menudo considerados patrocinados o acogidos por países como Rusia y Corea del Norte, han derribado sistemas del Servicio Nacional de Salud del Reino Unido, gigantes farmacéuticos como Merck y numerosos hospitales.
El El FBI informó 249 ataques de ransomware contra organizaciones de atención médica y de salud pública en 2023, pero Corman cree que la cifra es mayor.
Pero los esfuerzos federales para proteger el sistema de salud son un mosaico, según los expertos en ciberseguridad. Si bien aún no está claro cómo se pirateó Change, los expertos han advertido que una infracción puede ocurrir a través de un enlace de phishing en un correo electrónico o vías más exóticas. Eso significa que los reguladores deben considerar endurecer todo tipo de productos.
Un ejemplo de los esfuerzos, en el mejor de los casos, lentos para reparar estas defensas tiene que ver con los dispositivos médicos. Los dispositivos con software obsoleto podrían proporcionar una vía para que los piratas informáticos accedan a la red de un hospital o simplemente degraden su funcionamiento.
Recientemente, la FDA obtuvo más autoridad para evaluar las defensas digitales de los dispositivos médicos y emitir comunicaciones de seguridad sobre ellos. Pero eso no significa que las máquinas vulnerables serán retiradas de los hospitales. Los productos a menudo persisten porque es costoso retirarlos de servicio o reemplazarlos.
El senador Mark Warner (D-Va.) propuso anteriormente un programa tipo "Dinero por chatarra" para pagar a los hospitales para que actualicen la ciberseguridad de sus dispositivos médicos antiguos, pero "nunca se llevó a cabo seriamente", dijo la portavoz de Warner, Rachel Cohen. Riggi dijo que un programa de este tipo podría tener sentido, dependiendo de cómo se implemente.
Las debilidades del sistema son generalizadas y a menudo no se les ocurren inmediatamente a los responsables de las políticas. Incluso algo tan prosaico como un sistema de calefacción y aire acondicionado puede, si se conecta a la red de Internet de un hospital, ser pirateado y permitir que la institución sea vulnerada.
Pero construir más defensas requiere más personas y recursos, que a menudo no están disponibles. En 2017, Woods y Corman ayudaron en una informe del HHS estudiar la preparación digital del sector de la atención sanitaria. Como parte de su investigación, descubrieron que una parte de los hospitales más ricos tenían el personal y los recursos de tecnología de la información para defender sus sistemas, pero la gran mayoría no tenía personal de seguridad dedicado. Corman los llama "ricos en objetivos pero ciberpobres".
"El deseo está ahí. Ellos entienden la importancia", dijo Riggi. "El problema son los recursos".
El HHS ha propuesto exigir ciberdefensas mínimas para que los hospitales participen en Medicare, una fuente vital de ingresos para toda la industria. Pero Riggi dice que la AHA no lo apoyará.
"Nos oponemos a mandatos no financiados y nos oponemos al uso de sanciones tan severas", afirmó.
Este artículo fue producido por Noticias de salud de KFFanteriormente conocida como Kaiser Health News (KHN), una sala de redacción nacional que produce periodismo en profundidad sobre temas de salud y es uno de los principales programas operativos de KFF — la fuente independiente para investigaciones, encuestas y periodismo sobre políticas de salud. KFF Health News es el editor de Línea de salud de Californiaun servicio editorialmente independiente del Fundación de atención médica de California.
0 Comentarios