Por Juan García
4 de agosto de 2025Los datos sanitarios, por su naturaleza sensible, son una poderosa arma de coacción en manos de quienes tengan objetivos delictivos. Esto es algo de lo que son bien conscientes los ciberdelincuentes, que ven en hospitales y centros sanitarios una golosa diana para sus ataques virtuales.
La digitalización de los sistemas sanitarios ha incrementado exponencialmente el volumen de información expuesta a estas amenazas, por lo que la ciberseguridad se ha convertido en un tema de preocupación creciente para profesionales, autoridades y gerentes.
Las consecuencias para los centros que sufren ciberataques son diversas, desde pérdidas económicas en concepto de indemnizaciones al menoscabo de la reputación de los centros. Un análisis del World Economic Forum revela que el impacto económico de una brecha de datos cuesta a una empresa sanitaria más del doble que la media general, unos 10,93 millones de dólares. La Asociación Americana de Hospitales aporta otro dato revelador para ilustrar el problema de la ciberseguridad en el sector sanitario: en la darkweb (una parte de Internet que no está indexada por los motores de búsqueda convencionales y requiere navegadores especiales), un historial médico se vende por hasta diez veces más valor que una tarjeta de crédito.
El director de la compañía Hornetsecurity en la península ibérica, Italia y Latinoamérica, Carlos Viera, explica a Medicina Responsable las claves para entender el fenómeno de los ciberataques y cómo pueden defenderse las organizaciones frente a ellos.
El sector sanitario, blanco de los ciberdelincuentes
La razón por la que los ciberdelincuentes tienen tanta baza de negociación a la hora de extorsionar a las organizaciones sanitarias por sus datos se explica con cifras y ejemplos concretos. En 2018, el mayor proveedor de servicios de salud de Singapur, SingHealth, sufrió una filtración de datos que expuso la información personal de más de un millón de pacientes. Más del 60% de los afectados perdió la confianza en la empresa. Las consecuencias incluyeron una caída del 3% en las acciones, una pérdida de hasta el 15% de clientes y un aumento del 30% en menciones negativas en redes sociales. Otro ciberataque sufrido en 2024 llevó al Sistema Nacional de Salud Británico (NHS) a suspender operaciones ya que no podían comprobar la compatibilidad de sangre de los pacientes por el fallo de sus sistemas digitales. En EE.UU. la empresa procesadora de pagos sanitarios Change Healthcare pagó más de 22 millones de dólares en concepto de rescate tras sufrir un ataque cibernético que expuso los datos de pacientes y empresas, llevando al retraso de miles de citas médicas e incluso el cierre de algunos centros.
Viera apunta que la sanidad es un “sector estratégico” con vulnerabilidades frente a amenazas cibernéticas, ya que gestionan ingentes volúmenes de “datos confidenciales e información sensible”. Según el estudio ENISA Threat Landscape 2024, el sector salud sigue siendo uno de los más afectados por los ciberataques, registrando más del 4% de los incidentes de ciberseguridad.
Frente a esta realidad, el directivo de Hornetysecurity recomienda instaurar en las compañías el principio de “confianza cero”, que supone asumir que ningún dispositivo, usuario o aplicación puede ser completamente fiable. Las medidas de protección frente a ciberataques en el sector sanitario, señala que deben pasar en primer lugar por aspectos básicos como “la realización de copias de seguridad, el cumplimiento normativo o la concienciación y formación a sus empleados”. Además, resalta la importancia de “poseer un plan de respuesta a incidentes robusto y bien estructurado, que esté actualizado y que se haya puesto a prueba periódicamente. La estrategia de seguridad debe mantenerse al día e incluir herramientas de escaneo avanzado para analizar las comunicaciones entrantes”.
La gran vulnerabilidad del factor humano
Uno de los aspectos clave para garantizar la ciberseguridad en las organizaciones sanitarias es la formación de sus empleados, pues estos profesionales son el principal talón de Aquiles por cuya rendija penetran los ciberataques. Los sanitarios pueden ser el “cortafuegos” más eficaz frente a estos riesgos, aunque para ello deben estar concienciados y formados sobre estos aspectos.
“El error humano sigue siendo la causa número uno de las brechas de seguridad, por desgracia, ya que los empleados puede que hagan clic donde no deben, utilizan a menudo contraseñas recicladas o ignoran determinadas advertencias de seguridad”, argumenta Viera. Desde un correo fraudulento a un descuido que deje al descubierto información confidencial, las manos de los sanitarios pueden dar lugar a una brecha de datos por donde los ciberdelicuentes logren comenzar una amenaza.
La formación en concienciación sobre seguridad ya no sólo se está centrando en sesiones puntuales; sino que han evolucionado para convertirse en programas continuos e interactivos donde el empleado tiene un papel importante en la identificación y detección de amenazas, así como en los posibles pasos que deben seguir tras un posible ataque.
Noticias relacionadas
Semergen culmina la celebración de su 50 aniversario en el Ilustre Colegio Oficial de Médicos de Madrid
La Gala de la Fundación Semergen puso en valor la importancia de la investigación en Atención Primaria
Estas son las mejores universidades de España para estudiar Medicina y Enfermería
Navarra, Barcelona y la Autónoma de Madrid son las mejores para Medicina, según el Ranking CYD 2024
El país con más facultades de medicina del mundo es...
