Cuando los hackers recurren al chantaje

La seguridad de nuestra red apesta, se lee el mensaje. Pero podemos ayudaros por 100.000 en efectivo, aseguraremos que su pequeño hospital no sufra ningún desastre.

«Ridículo», se dijo Paul Layman, borrando el correo electrónico. «¡Las cosas que la gente intenta salir con la suya en Internet!»

Paul, el CEO del Hospital Sunnylake, había estado revisando tranquilamente su bandeja de entrada un viernes por la tarde cuando encontró el correo electrónico analfabeto de un remitente desconocido. Había venido a Sunnylake cinco años antes con la visión de introducir tecnología de vanguardia en el pequeño hospital. Paul estaba convencido de que Sunnylake solo podía crecer si eliminaba hábitos y procedimientos obsoletos, y que cambiar de los registros en papel a los registros médicos electrónicos (EMR) mejoraría la calidad de la atención de los pacientes del hospital. Después de una cuidadosa búsqueda, Paul había contratado a un joven serio llamado Jacob Dale para que fuera el director de IT de Sunnylake, y los dos habían trabajado para ejecutar su visión.

El éxito de la iniciativa EMR había transformado a Sunnylake de un centro de atención comunitaria remanso a un modelo a seguir para los hospitales pequeños de todo el mundo. Todo el personal médico utilizaba lectores electrónicos para abrir los expedientes de los pacientes. Muchos de los médicos se habían resistido inicialmente al cambio por temor a que la nueva tecnología desviara la atención de los signos y síntomas de los pacientes. Sin embargo, a medida que pasaba el tiempo, incluso los más dedicados de la vieja escuela se habían visto obligados a admitir que las EMR habían aumentado la eficiencia, por ejemplo, al comprobar automáticamente los errores de medicación y las interacciones con los medicamentos.

El brillante éxito había convertido al incipiente departamento de IT de Paul en una parte valiosa del hospital. El CEO consideró que los EMR eran su legado, uno que serviría bien a la institución en los años venideros.

La amenaza implícita en el correo electrónico no provocó ansiedad en Paul. Tenía gran fe en Jacob, cuyas camisas a medida y barba Vandyke desmintieran su energía agresiva. Mientras el sistema estaba en desarrollo, Paul había insistido en repetidas ocasiones en que la privacidad de los pacientes era fundamental. Jacob había explicado con calma y exhaustividad que hacer los discos digitales también los haría más seguros. Sin embargo, Pablo se había puesto nervioso cuando el sistema se puso en marcha, pero los últimos tres años habían calado sus dudas. Aunque sabía que ningún sistema informático era perfecto, se sentía seguro de que la red no estaba en peligro real, especialmente por parte de un extorsionista que no había dominado las habilidades básicas de mecanografía.

Se olvidó del asunto durante el fin de semana. Pero a las 8:00 de la mañana del lunes recibió otro correo electrónico del mismo remitente, con una línea de asunto que decía Nos avisamos. El campo de mensaje estaba en blanco.

El día más difícil de la carrera de Paul Layman estaba a punto de comenzar.

Acceso denegado

«¡Tenemos a un paciente en cirugía!» ladró el médico. «¡Necesito esos discos ahora!»

La interna a la que gritaba apenas levantó la vista del dispositivo que tenía en las manos. Había estado allí sólo una semana, pensó el médico, y ya estaba demostrando su incompetencia. Le quitó el lector de EMR e ingresó impacientemente su código de acceso. La pantalla parpadeó Acceso denegado.

«¿Qué es esto?» gruñó. «¡Ayer miré los expedientes de este paciente!»

El equipo de IT había diseñado la red para que los médicos, enfermeros y administradores que los necesitaran solo pudieran acceder a los registros. Hoy, al parecer, algo había salido terriblemente mal. La interna se puso de pie, con los brazos cruzados, sacudiendo la cabeza. Al resistir la necesidad de golpear el dispositivo contra una mesa, el médico irrumpió por el pasillo hacia el departamento de IT. Apenas notó el grupo de enfermeras preocupadas en su estación, o los carros de medicamentos vacíos que deberían haber estado haciendo sus rondas matutinas.

En el corazón del departamento sucedió en una escena inusual. Un grupo de médicos descontentos se había reunido frente a una sala acristalada en la que varios servidores tarareaban sobre bastidores. Dentro de la sala, algunos tipos de IT trabajaron frenéticamente. A medida que el médico se acercaba, podía ver que cada uno de sus colegas llevaba un dispositivo que parpadeaba el mismo mensaje: Acceso denegado.

Registros de rescate

Minutos después, Jacob estaba en la oficina de Paul cuando llegó el tercer correo electrónico. En completo silencio, los dos miraron la pantalla del ordenador de Paul. Apostamos a que quieres que te devuelvan tus cosas. probablemente lo haya protegido mejor. por el pequeño precio de 100K, haremos que esto desaparezca.

«¿Qué diablos pasa?» Paul exigió. «Tengo a los médicos en los pasillos».

«Este es un tipo de ransomware que abarca todo el sistema», murmuró Jacob. «En lugar de retener a un par de personas por 50 dólares cada uno, estos tipos están reteniendo a toda la organización. Quieren 100.000 dólares para la herramienta de descifrado». Todo su equipo estaba trabajando para restaurar el sistema. La programación que normalmente solo permitía el acceso selectivo a los registros había sido alterada para no permitir ningún acceso. Incluso los administradores del sistema quedaron excluídos.

«¿Cómo entraron en nuestro sistema?»

«Quizás a través de la máquina de un usuario individual», respondió Jacob. «Alguien aquí podría haber pensado que estaba descargando software antivirus o actualizando una aplicación existente».

«¿Un idiota de nuestro personal podría haber causado todo este lío?» Paul se dio cuenta en un instante enfermizo de que el departamento de IT de Sunnylake simplemente no era lo suficientemente grande ni lo suficientemente sofisticado para manejar un problema tan devastador. En los últimos tres años, la seguridad tecnológica había avanzado significativamente, pero de alguna manera Sunnylake no se había mantenido al día. Solo unos días antes, Pablo había confiado en que era prácticamente imposible infiltrarse en el sistema. Ahora tenía que enfrentarse a la horrorosa realidad de que había sido demasiado débil todo el tiempo.

Los registros completos estaban respaldados en la red, para que la información de los pacientes no se perdiera por completo. Pero Sunnylake actualmente no tenía forma de entregar esos registros a los médicos que los necesitaban urgentemente para la atención de los pacientes. El hospital estaba a punto de paralizarse.

«Esto es—» Paul hizo una pausa, sin palabras. «Muy mal. Muy, muy mal». Miró a Jacob.

Los ojos del director de IT se habían entrecerrado y su expresión era feroz. «¿Qué tipo de baba hackea un hospital?» exigió de la pantalla. «¿No les importa lastimar a los enfermos? Crees que has visto lo peor, pero estas personas bajan todo el tiempo».

«Por lo que he oído, los hackers no se suscriben exactamente a un código moral», dijo Paul, reprimiendo la necesidad de gritarle a Jacob. «Deben haberse dado cuenta de que nuestra dependencia de estos registros nos hace particularmente vulnerables. Si desactivas un sitio normal durante unas horas, es probable que la empresa pierda dinero. Quizá incluso mucho dinero. Pero si se quitan los registros de un hospital, el personal podría terminar perjudicando a los pacientes a los que se esfuerza tanto por proteger. Ya no es solo cuestión de dinero. Tenemos vidas humanas en juego».

«Mi gente está luchando contra esto con todo lo que tenemos», respondió Jacob a la defensiva. «Con el tiempo suficiente, podemos recuperar el control del sistema. A continuación, actualizaremos la seguridad para asegurarnos de que nada como esto vuelva a suceder. Instalaremos un sistema de detección de infecciones basado en red. De ahora en adelante, no basta con alejar a los intrusos».

«La pregunta es, Cuando¿podemos ganar?» Paul dijo en voz baja, manteniendo su frustración. «No podemos quedarnos sin discos mucho más tiempo».

«Este es el equivalente digital del combate cuerpo a cuerpo», respondió Jacob. «Conocemos el sistema mejor que estas personas, pero tienen la ventaja de sorprendernos. No puedo decirte cuándo vamos a ganar. No existe una solución rápida para un problema como este».

Paul asintió hacia la pantalla. «Nos han ofrecido una solución rápida», dijo.

«No estás considerando seriamente pagarles a estos tipos, ¿verdad?» Preguntó Jacob con incredulidad. «Si pagamos una vez, seremos un objetivo para siempre. No lo hagas. No está bien. Podemos vencer a estos tipos, Paul. Dame un poco más de tiempo».

Una bomba de tictac

«Paul, tenemos que hacer que esto desaparezca», dijo Lisa Mankins, asesora legal principal de Sunnylake. Su cabello fue tirado hacia atrás suavemente, y estaba vestida como de costumbre con un austero traje pantalón, pero Lisa parecía como si acabara de someterse a horas de tortura.

Después del último correo electrónico de los hackers, el equipo de IT había logrado restaurar el sistema dos veces, solo para que se bloqueara minutos después. A pesar de los mejores esfuerzos del departamento, explicó Jacob, los hackers siguieron recuperando el acceso. La mayor parte del personal empezaba a parecer agotado emocionalmente. El hospital había ordenado a todos los médicos que redactaran órdenes y recetas de enfermería en papel por el momento. Los médicos más jóvenes, que siempre habían confiado en los EMR, estaban desconcertados por el concepto. Incluso algunos de los más viejos habían olvidado cómo eliminar «500 mg de amoxicilina» de forma legible.

Paul había llamado a Lisa a su oficina para hablar sobre el control de daños.

«Nuestra exposición legal en este tipo de situaciones es alucinante», dijo. «Cuanto más dure esto, mayor será el riesgo. Literalmente, cada segundo es un lastre. Los médicos están recurriendo a viejos registros en papel para los casos más urgentes, pero esos registros están desactualizados. Esta tarde tratamos a un paciente con medicamentos a los que era alérgico. Por suerte, su reacción fue leve, pero puede que no tengamos tanta suerte la próxima vez».

Lisa caminaba hacia adelante y hacia atrás frente al escritorio de Paul. «Tenemos que evaluar nuestras opciones. No me parece que el IT pueda solucionar este problema lo suficientemente rápido, si es que lo hace».

«De la manera en que Jacob me lo explicó, IT necesita cierto tiempo para recuperar el control», dijo Paul. Había intentado toda la mañana preservar su confianza en la habilidad de Jacob, pero empezaba a desvanecerse. Cada vez que se restauraba el sistema, la esperanza se había disparado en el pecho de Pablo, solo para volver a chocar cuando Acceso denegado reapareció en todas las pantallas.

«No tenemos ese tiempo», insistió Lisa. «Ya lo sabes». Después de un momento de silencio volvió a hablar, con la cara tensa. «Tenemos un presupuesto para este tipo de cosas, sabes. Un presupuesto de pérdidas aceptable. Tenemos un seguro que cubre el riesgo de IT y el dinero para pagar a estos tipos. Las demandas por negligencia médica podrían costarle a este hospital cientos de miles de dólares solo en honorarios legales, y posiblemente millones en daños y perjuicios. Cien mil dólares palidece junto con las pérdidas que podríamos enfrentar si esperamos esto. Creo que es práctico, incluso moral, pagar el rescate. Cuanto más esperemos, más nos arriesgamos a lastimar gravemente a nuestros pacientes y a nosotros mismos».

«No me gusta la idea», dijo Paul. «En absoluto. No tiene principios recompensar la extorsión. Solo animaría a estas personas y tal vez llevaría a otros ataques a otros hospitales». Hizo una pausa. «Pero podría ser todo lo que tenemos».

Lisa apenas había salido de su oficina antes de que George Knudsen, el jefe de gabinete, irrumpiera.

«¿Cuándo vas a arreglar esto?» exigió. «¿Tienes idea de lo que esto le hará a nuestra reputación si algún novato se entere de ello?» George era un pardo e intimidante en Sunnylake. Había estado allí durante años cuando Paul llegó, y bien podría durar más que él. Los dos habían dado cabezazos con la introducción de los EMR, pero habían sido cordiales desde el éxito de la iniciativa. George parecía todo menos cordial ahora.

«Todo el mundo está trabajando lo más duro posible», respondió Paul. «Ha sido difícil para todos nosotros».

«No creo que sepas lo difícil que ha sido», dijo George enojado. «No lo sabrías a menos que tuvieras que tratar a los pacientes mientras te preguntas si realmente les estás haciendo daño. No lo sabrías a menos que tuvieras miedo de romper tu juramento solo porque algún joven fanático de la informática pensara que su sistema era mucho más fuerte de lo que realmente es».

«George, sabes lo bueno que ha sido el sistema electrónico para este hospital», replicó Paul, alarmado por la furia del anciano. «Lo admitiste tú mismo».

«¡No sabía qué tipo de costo íbamos a pagar!» Rugió George. «Estás haciendo que todo tu personal parezca incompetente, ¡o peor! El papel podría haber sido lento, pero era fiable. Si no lo arreglas pronto, Paul, nunca volveré a tocar uno de esos malditos dispositivos. Y conozco a muchos otros aquí que sentirán lo mismo». Se acechó.• • •

Paul se acostó de espaldas en el sofá de la sala de personal, mirando hacia el techo medio iluminado. Era la 1:00am. El equipo de IT seguía en el hospital, librando una ciberguerra con un adversario invisible. El patrón de victoria breve seguida de la derrota había continuado hasta la noche. Jacob había probado todos los descifradores en línea que pudo encontrar; su equipo estaba despegado por todo el hospital, escaneando computadoras en busca de pistas.

Paul cerró los ojos. Siguió viendo imágenes cinematográficas de descifradores de códigos aliados luchando contra la máquina Enigma de los alemanes. La situación de Sunnylake se sentía tan urgente. Por más que lo intentara, no podía despejar su mente y dejarse dormir. La culpa aplastante, un sentido de responsabilidad por todo lo que había pasado ese día, le presionó el pecho.

Incluso después de tres años de éxito, durante los cuales el personal casi sin excepción había llegado a apreciar la eficiencia de los EMR, Paul podía recordar claramente lo duro que había tenido que luchar para instalar y aceptar el sistema. A menos que pudiera resolver esta crisis rápidamente, perdería todo el terreno que había ganado. Los médicos del hospital habían sido tercos y resistentes al principio, y George Knudsen no era el único que entraría en el modo «Te lo dije». Puede ser casi imposible hacer que vuelvan a confiar en el sistema, o en él.

Si pagaba a los hackers, solo esta vez, Sunnylake podría hacer de la seguridad la prioridad número uno y asegurarse de que nada como esto vuelva a suceder. Paul se dio la vuelta, suspirando. ¿Estaba considerando pagar dinero de extorsión a estos criminales?

Por Gullestrup(pgu@clipper-group.com) es el presidente y CEO de Clipper Projects en Copenhague.

Por desagradable que parezca, sugeriría que el Hospital Sunnylake siga adelante y pague el rescate exigido por los extorsionadores. (Esto supone, por supuesto, que la amenaza es real y que existe un riesgo verificable para la salud del paciente). Esa puede ser la única manera de que Paul Layman pueda evitar daños a los pacientes de Sunnylake y evitar el enorme riesgo de responsabilidad que tanto teme Lisa Mankins, la abogada principal.

¿Por qué recomendaría esto? Como CEO, tuve que lidiar con una situación análoga en noviembre de 2008, cuando piratas somalíes en el Golfo de Adén atacaron un barco de 15 millones de dólares perteneciente al Grupo Clipper. Los piratas mantuvieron como rehenes a sus 13 miembros de la tripulación durante 71 días. Dirigí el equipo de respuesta a emergencias encargado de garantizar la seguridad de la nave y de la tripulación.

Lidiar con la extorsión no forma parte de la descripción del puesto de trabajo de un CEO. En nuestro caso, los delincuentes tenían todas las cartas. Durante el enfrentamiento me enteré de que la piratería somalí es un negocio bien administrado que incluye a varios actores e inversores. Aunque los piratas pueden hacer que la vida de los rehenes sea desagradable, dañarlos está fuera de toda duda; eso sería la muerte del modelo de negocio de los piratas.

Los piratas sabían que el tiempo estaba de su lado. Si decidimos no pagar, simplemente se aferrarían al barco y a la tripulación; su sistema bien afilado facilita el reabastecimiento continuo del barco. (Aunque la legislación danesa prohíbe pagar un rescate a los terroristas, no hay nada que impida a un armador pagar a los piratas).

Ningún CEO puede resistirse indefinidamente a los constantes golpes de familiares desesperados, una prensa ansiosa y políticos exigentes; simplemente no es sostenible. Al final, no tuvimos más remedio que pagar los millones de dólares que exigían los piratas. (El seguro cubrió el costo).

En el caso de Paul, el primer paso y el más importante debería ser contratar a un buen negociador emocionalmente neutral que pueda abrir un diálogo con los hackers y mantenerlos involucrados en la conversación, de modo que sea poco probable que hagan aún más travesuras.

A medida que avanza el proceso, el negociador puede pasar información entre las dos partes, mientras que el equipo de IT de Jacob Dale trabaja para poner en marcha el sistema y luego reforzar los planes de seguridad y emergencia que debería haber tenido en primer lugar. Mientras tanto, la policía y los especialistas forenses pueden intentar localizar a los criminales y poner fin a su empresa.

Una vez que las negociaciones están en juego, todo se convierte en una partida de ajedrez. El negociador y el equipo de emergencias pueden elaborar los términos y la logística. Cuando se llega a un acuerdo, el dinero se retira y todo el episodio termina.

Otra pregunta es, ¿qué pasa con los medios de comunicación? Es muy probable que los periodistas se enteren de alguna manera sobre lo que ha pasado en Sunnylake. En nuestro caso, decidimos tratar directamente con los medios de comunicación para ayudar a crear conciencia sobre la amenaza que representan los piratas somalíes.

Si los armadores llegan a comprender la propuesta de negocio de los piratas y están dispuestos a hacer las duras negociaciones necesarias, estarán mucho mejor equipados para hacer frente a la amenaza. Durante el proceso de negociación, aprendimos mucho sobre dónde va el dinero del rescate y cómo se usa, y las autoridades están haciendo un buen uso de esa información.

Richard L. Nolan( rnolan2@u.washington.edu) ocupa la cátedra Philip M. Condit de la Escuela de Negocios Foster de la Universidad de Washington. Es coautor, junto a Robert D. Austin y Shannon O’Donnell, de Aventuras de un líder de IT(Harvard Business Press, 2009).

Este caso es un ejemplo del tipo de ataque al que todas las organizaciones, pequeñas o grandes, son vulnerables ahora. Todas las organizaciones dependen de la tecnología; ninguna es inmune a las hordas de personas de todo el mundo que buscan generar disrupción sus operaciones, a veces solo por diversión y con frecuencia por motivos maliciosos o para beneficio personal.

Esto significa que el CEO y la junta son responsables del «buen juicio empresarial» para protegerse contra la amenaza. El primer error de Paul fue descartar el mensaje de correo electrónico original. Todas las amenazas informáticas deben tomarse en serio; si hubiera tenido su ingenio sobre él, se lo habría hecho saber a Jacob Dale inmediatamente. Ningún sistema informático es «a prueba de balas».

Además, las organizaciones necesitan un plan para cuando no están seguras de la medida en que sus sistemas se han visto comprometidos. Sunnylake debería haber tenido un sistema de respaldo funcional y totalmente probado para garantizar un servicio ininterrumpido al paciente y proteger a todos los afectados. Los médicos y las enfermeras están capacitados para diagnosticar, resolver problemas y tratar dinámicamente a sus pacientes. Los sistemas informáticos facilitan, pero no sustituyen, el tratamiento del paciente. El hecho de que el hospital no haya instalado un software de seguridad actualizado, ni un subcontratista de seguridad confiable y un plan de emergencia implementado es inexcusable.

Por muy malo que parezca, esta crisis es más fácil de afrontar que otras amenazas más vagas (como programas de software tipo robot que alternan aleatoriamente entre la latencia y el sabotaje o el robo de datos de los clientes), porque Sunnylake sabe que ha habido una intrusión: alguien parece haber cambiado la seguridad del acceso.

Entonces, ¿qué debería hacer Paul, el CEO? Primero, será mejor que se levante de ese sofá y renuncie a la vana esperanza de que el equipo de IT pueda restaurar el sistema y hacer que el hospital vuelva a funcionar. Cuando los hospitales de CareGrupo, un equipo de profesionales de la salud del este de Massachusetts, experimentaron una situación similar en 2002, el director ejecutivo, el CIO, los médicos, las enfermeras y el personal de apoyo comenzaron a funcionar igual que en la década de 1970, antes de que se instalara su sistema integrado de EMR. Los profesionales que recordaban cómo era eso entrenaban a aquellos que siempre habían dependido de las computadoras. Como dijo John Halamka, director de TI, a su junta directiva: «La buena noticia es que la atención médica no sufrió».

Pablo también debería estar en alta comunicación con todos sus electores. Debe entender que en el entorno de red actual no hay absolutamente ningún secreto. Cualquier infracción de IT obliga a una organización a preguntar: ¿Cuánto debemos revelar sobre esta amenaza? En esta situación, Paul necesita proporcionar información completa a sus diversos electores: empleados, junta directiva, pacientes y el público.

De ninguna manera debe aceptar las demandas de los extorsionistas. No hay garantía de que no hayan incrustado más corrupción en el sistema. El código debe examinarse línea por línea y limpiarse a fondo. La infraestructura de red del hospital y otros sistemas informáticos deben analizarse en busca de posibles daños y protegerse con un software de seguridad actualizado.

Finalmente, Paul necesita afrontar el hecho de que puede perder su trabajo. Después de todo, es responsable de todos los recursos estratégicos del hospital, incluida la IT. La junta también debe rendir cuentas por la falta de supervisión estratégica.

El caso del Hospital Sunnylake ofrece una advertencia anticipada sobre un problema emergente muy grave para todos los directores ejecutivos y sus juntas directivas.

Peter R. Stephenson es presidente del departamento de informática y director de seguridad de la información de la Universidad de Norwich en Northfield, Vermont.

Si has adornado las ventanas y puertas de tu red con ajo, colgado espejos y crucifijos, y has salpicado todo con agua bendita en forma de cortafuegos, software antivirus, etc., probablemente estarás a salvo de los vampiros, hackers o malware. Pero en este caso, faltaban preparativos para una brecha de seguridad, y un chicle —posiblemente alguien que compraba en línea desde un ordenador conectado a la red— podría haber dejado entrar al vampiro.

Desafortunadamente, la seguridad de los datos es una idea de último momento en muchos hospitales. Hace poco pasé por el quiosco de información de un hospital, que debía estar atendido por un voluntario. La computadora estaba encendida, la pantalla iluminada, pero no había nadie cerca, una grave violación de la ley estadounidense que protege la privacidad de los pacientes.

En Sunnylake, el sistema sigue fallando porque los atacantes encuentran una nueva forma de entrar cada vez que ocurre una solución. Esto puede deberse a que el malware, el programa malvado que facilitó la filtración en primer lugar, ha transmitido un mensaje a los hackers, informándoles de lo que están haciendo Jacob y su equipo.

Si Paul hubiera avisado a los informáticos en el momento en que llegó el primer mensaje desagradable, podrían haber sacado el sistema de Internet inmediatamente, asegurándose de que un programa malicioso relacionado con el ataque no pudiera entrar desde afuera. Esto también habría bloqueado cualquier puerta trasera que los hackers hubieran creado.

A continuación, deberían haber verificado que los malos habían obtenido acceso a la red. No es inusual que un extorsionista envíe un mensaje amenazante con la esperanza de asustar al destinatario para que le dé una payoff. Jacob y su equipo deberían haber revisado los registros del sistema para ver si se habían producido cambios. Si hubieran reaccionado de inmediato, podrían haber evitado el segundo correo electrónico o las penetraciones adicionales.

¿Cómo puede el equipo de IT arreglar la red? En primer lugar, los administradores del sistema deben recuperar sus contraseñas y recuperar el control. A riesgo de ponerse técnico, esto significa apagar los servidores, realizar una eliminación segura de todos los discos del servidor eliminando y sobrescribiendo datos aleatorios, restaurando los servidores y los datos y asegurándose de que los programas de seguridad estén completamente actualizados y operativos. El departamento de IT debe ejecutar un análisis de malware en todas las estaciones de trabajo del hospital, en caso de que el ataque se produjo a través de un ordenador de un empleado. Aunque requiere mucha mano de obra, esta exploración es de vital importancia.

¿Qué pasa con los extorsionistas? Los mensajes de correo electrónico ofrecen algunas pistas tentadoras sobre su identidad. El uso de la abreviatura «u» para «usted» sugiere que un joven o un extranjero con conocimientos de inglés deficientes o un aficionado que descargó el programa de ataque de Internet. También es posible que los malos sean bastante inteligentes, y siempre es más seguro sobreestimar las habilidades de los hackers. Puede que ni siquiera sean «forasteros». Un empleado o paciente vengativo que pasa por una estación de trabajo desatendida puede causar mucho daño. Antes de volver a conectarse a Internet, Sunnylake debería estar atento a lo que sucede durante 24 horas. Si los atacantes son personas con información privilegiada que conservaron el acceso al sistema, podrían intentar entrar de nuevo.

Incluso si Paul contrata a un asesor de seguridad, lo cual es un paso que recomendaría, es poco probable que el hospital encuentre a los atacantes. Sin embargo, el consultor puede ayudar a crear un perfil de los atacantes, mejorar la seguridad y capacitar al personal clave para que Sunnylake pueda protegerse a sí mismo en el futuro.