El uso de tecnologías avanzadas como, la Historia Clínica Digital o la telemedicina, ha mejorado el funcionamiento del sistema sanitario y ha facilitado el acceso a la información. Sin embargo, esta digitalización también ha traído consigo nuevas amenazas cibernéticas constantes, por lo que el sistema sanitario y, en especial, los hospitales, deben blindarse.
En los últimos años, los ciberataques al sector salud se han intensificado, ya que los delincuentes buscan acceder a datos médicos para cometer fraudes o extorsiones. Como consecuencia, han crecido de forma notable los incidentes de seguridad, especialmente los ataques de tipo ransomware y phishing. De hecho, los ciberataques al sector sanitario se han disparado y ya alcanzan una media de 2.443 incidentes por semana, lo que supone un aumento del 10 % respecto a 2024, según los datos de la empresa española Secure&IT.
Un claro ejemplo, fue el que se vivió en 2023 en el Hospital Clínic de Barcelona. El grupo de ransomwore RansomHouse atacó al centro y provocó la cancelación de 150 intervenciones quirúrgicas y las suspensión de más de 2.000 consultas y sesiones de radioterapia oncológica, así como la paralización de la actividad de urgencias, laboratorio y farmacia. Los delincuentes exigieron 4,5 millones de dólares (3,9 millones de euros) por el rescate. Ante la negativa del hospital, el grupo filtró 425 terabytes de datos sensibles de pacientes y personal sanitario en la dark web.
En palabras de Rafael Rosell, director de ingresos en S2GRUPO, «el coste real es mucho mayor que el puramente técnico. Desde el punto de vista económico, el verdadero daño está en la interrupción del servicio y en el deterioro del rendimiento del sistema. En entornos sanitarios, esta disrupción puede llegar a tener implicaciones directas en la calidad asistencial y en la seguridad del paciente».
Por otro lado, David Soto, global director Healthcare & Insurance de Softtek, explica que «cada día hay cientos de ataques a hospitales; pero son los sitios más seguros, los ciberataques que lograr romper estas barreras son los mínimos». Pero, ¿por qué el sistema sanitario recibe tantos ciberataques? La respuesta es clara: su valor económico. Según el informe ENISA Threat Landscape 2025, un historial médico puede alcanzar los 1.000 dólares (870 euros) en el mercado negro, mientras que una tarjeta de crédito se vende por entre 5 y 7 dólares (entre 4 y 6 euros), y un número de la Seguridad Social ronda los 2 dólares (1 euro). Esto es lógico ya que la tarjeta de crédito se puede cancelar para evitar más fraude; sin embargo un historial médico no.
Con este contexto, no cabe duda de que es primordial invertir en ciberseguridad. «Es una palanca de eficiencia, sostenibilidad y continuidad. Considerarla solo un coste es un error de enfoque. En sanidad, la ciberseguridad protege disponibilidad clínica, reduce interrupciones, evita costes extraordinarios, preserva confianza y habilita una digitalización más segura», alega Rosell. Y añade que «cuanto más digital y conectado es el sistema sanitario, más inseparables se vuelven eficiencia y ciberseguridad. No hay telemedicina escalable, historia clínica interoperable ni explotación avanzada del dato si no existe una base sólida de confianza. La ciberseguridad no compite con la eficiencia; la hace posible«.
Medidas de protección
Ante esto, desde Europa han tomado medidas. «El NIS2 refuerza obligaciones de gestión de riesgos, continuidad, gobernanza y notificación en sectores críticos, entre ellos la sanidad, y amplía el marco común de ciberseguridad», alega Rosell; sin embargo, puntualiza que «el marco europeo va en la dirección correcta, pero su efectividad dependerá de la capacidad real de los sistemas sanitarios para aterrizarlo en procesos, inversiones, talento y capacidades operativas. Ninguna norma, por sí misma, frena a un actor hostil». En paralelo, España aprobó el año pasado la Estrategia de Ciberseguridad del Sistema Nacional Salud (SNS) 2025-2028, clave para afrontar los retos de la digitalización sanitaria desde un enfoque integral, preventivo y colaborativo pues desde el propio ministerio de Sanidad han asegurado que faltan medios humanos y técnicos especializados para hacer frente a estos ciberataques.
En relación con esto, el nuevo marco de ciberseguridad se articula en 12 ejes estratégicos, que incluyen desde la gobernanza del modelo de seguridad hasta la gestión de crisis, la protección de la cadena de suministro, la creación de un observatorio de madurez cibernética y la contratación segura de tecnologías y servicios. Cada eje contará con programas y proyectos específicos, que se implementarán de manera progresiva siguiendo una hoja de ruta nacional.
NotiVeraz