En un mundo en el que todos aparentan proteger los datos con rigor…, se sabe mucho más de todo el mundo que nunca, y son un clamor popular los inconvenientes que causan a los individuos las continuas intromisiones a la privacidad personal, por distintas vías.
Pero hay informaciones más sensibles que otras a su no divulgación, sin duda. Evidentemente, me estoy refiriendo a las que afectan a lo más importante que portamos cada uno de nosotros, desde que nacemos hasta la misma muerte, y que son las relativas a nuestra salud.
Ya no están apenas en papel, ahora lo hacen en la red o en la nube, pero se exponen a los mismos peligros que cuando el concepto de transformación digital ni siquiera se mencionaba.
Los ciberataques al sector sanitario en España son una realidad tangible y creciente, ya sea a centros de tamaño grande o pequeño. Por ello, este sector se está volviendo cada vez más susceptible a ellos, amenazantes a diario, y comprometedores de los datos confidenciales de los pacientes y de todos los dispositivos empleados.
Es curioso. Este artículo prometo que empecé a escribirlo justo un día antes del famoso apagón eléctrico que sufrimos en todo el territorio nacional el pasado mes de abril, y del que aún no sabemos ni sabremos nunca quién fue el responsable.
Me sirvió de motivación para continuarlo, porque el primer rumor que circuló por la calle de la capital, al menos, era culpar a los ciberpiratas.
Buen momento para recordar algunos de los mayores incidentes habidos en nuestro país en los últimos años, en sanidad:
En abril de 2021, el Servicio de Salud de Castilla-La Mancha (SESCAM) fue víctima de un ciberataque que afectó seriamente al funcionamiento de su red informática. Distintas fuentes indicaron que se trató de un posible ransomware, una modalidad en la cual los archivos del sistema son cifrados y se exige un rescate para su liberación.
Como resultado, se interrumpió el acceso a múltiples servicios digitales, incluidos los sistemas de historia clínica electrónica y citas médicas. Los profesionales sanitarios tuvieron que recurrir a métodos manuales durante varios días. Aunque no se reportó la filtración de datos sensibles, el incidente evidenció la dependencia de la infraestructura digital, y la necesidad de planes de contingencia más robustos.
Uno de los casos más graves tuvo lugar en marzo de 2023, cuando el Hospital Universitario Clinic, de Barcelona, fue atacado por un grupo de ciberdelincuentes que logró infiltrarse en los sistemas del hospital, mediante un ataque de ransomware, paralizando más de 150 aplicaciones informáticas y afectando, gravemente, la operativa hospitalaria, incluyendo cirugías, consultas externas y pruebas diagnósticas.
‘El trabajo colaborativo es clave en el sector de la salud’
El hospital tardó semanas en recuperar la normalidad. Durante ese tiempo, se vieron obligados a reprogramar unas 3.000 consultas y unas 300 intervenciones quirúrgicas. Además, se confirmó que los atacantes habían robado más de 4 terabytes de datos confidenciales, incluyendo historiales médicos y datos personales de pacientes y profesionales.
Este caso puso de manifiesto la vulnerabilidad de los grandes hospitales, y la necesidad de reforzar la ciberseguridad en las instituciones públicas. El hecho de que no se pagara el rescate también evidenció la firmeza institucional frente a este tipo de amenazas, pero dejó en evidencia las graves consecuencias de no contar con sistemas de recuperación eficaces.
En 2020, el Servicio Navarro de Salud sufrió un intento de intrusión en su red informática, el cual fue detectado y neutralizado antes de que causara daños mayores.
El ataque se enmarcó en una campaña de phishing a gran escala, donde se enviaban correos electrónicos fraudulentos que simulaban ser comunicaciones internas del sistema de salud. Este caso subrayó la importancia de la formación del personal sanitario en materia de ciberseguridad, ya que muchos de estos ataques explotan el factor humano como principal vector de entrada.
Durante la pandemia, múltiples centros de salud y organismos del Sistema Nacional de Salud fueron objeto de ataques, o intentos, mediante campañas de malware.
Uno de los elementos más preocupantes fue el uso de campañas de desinformación, combinadas con ataques informáticos, cuyo objetivo era desestabilizar la confianza pública en las instituciones sanitarias. También se detectaron intentos de sabotaje a ensayos clínicos y al sistema de distribución de vacunas, en línea con lo ocurrido en otros países europeos.
Los ejemplos descritos, solo una pequeña muestra, reflejan una tendencia creciente y preocupante: la exposición del sector sanitario a amenazas cibernéticas. Según el informe “ENISA Threat Landscape for Health Sector” (2023), los hospitales y entidades sanitarias están entre los cinco sectores más atacados en Europa.
En el caso español, el Instituto Nacional de Ciberseguridad (INCIBE) registró más de 100 incidentes significativos en el ámbito sanitario solo en 2023.
Esa vulnerabilidad se explica porque la información privada de los pacientes tiene un gran valor para los hackers.
Los hospitales almacenan una cantidad increíble de datos de pacientes. Datos confidenciales, que tienen gran valor para los hackers, que pueden venderlos fácilmente, lo que convierte al sector en un objetivo en crecimiento. Estas organizaciones tienen el deber de proteger los registros personales de sus pacientes.
Además, los dispositivos médicos son un punto de entrada fácil para los hackers.
Los dispositivos médicos como los rayos X, las bombas de insulina y los desfibriladores, por ejemplo, desempeñan un papel fundamental en la atención médica moderna. Pero para quienes están a cargo de la seguridad en línea y la protección de los datos de los pacientes, estos nuevos dispositivos abren más puntos de entrada para los ataques. Los dispositivos médicos están diseñados para un propósito, como monitorizar la frecuencia cardíaca o dispensar medicamentos. No están hechos pensando en la seguridad.
Aunque es posible que los dispositivos en sí mismos no almacenen los datos del paciente que buscan los atacantes, pueden usarse para lanzar un ataque a un servidor que sí contiene información valiosa. En el peor de los casos, los hackers pueden apoderarse por completo de un dispositivo médico, lo que impide que las organizaciones sanitarias proporcionen un tratamiento vital para los pacientes.
Por su parte, el personal necesita acceder a los datos de forma remota, lo que abre más oportunidades de ataque.
El trabajo colaborativo es clave en el sector de la salud, con unidades que trabajan juntas para brindar la mejor solución para cada paciente. Aquellos que necesitan acceder a la información no siempre están sentados en su escritorio, a menudo trabajan de forma remota desde diferentes dispositivos.
Conectarse a una red de forma remota desde dispositivos nuevos es arriesgado, ya que no todos los dispositivos serán seguros.
Además, el personal sanitario no suele recibir formación sobre las mejores prácticas de ciberseguridad. Es fundamental que los dispositivos comprometidos no tengan acceso a la red, ya que un solo dispositivo pirateado puede dejar abierta toda una organización.
Y los trabajadores no quieren interrumpir sus tareas por la introducción de nueva tecnología. Trabajan muchas horas y con plazos ajustados, lo que significa que no tienen el tiempo ni los recursos para agregar procesos de ciberseguridad a su carga de trabajo.
Cualquier medida de ciberseguridad impuesta a las organizaciones sanitarias debe tener en cuenta el impacto que pueden tener en sus tareas actuales, e intentar alinear las medidas de seguridad con el software existente.
Tampoco el personal de atención médica está capacitado sobre los riesgos de ciberseguridad. Los profesionales médicos están capacitados para trabajar en muchas cosas, pero la educación sobre las ciberamenazas no está en su horario. Las limitaciones de presupuesto, recursos y tiempo significan que simplemente no es posible que todo el personal sanitario domine las mejores prácticas de ciberseguridad.
Las soluciones de ciberseguridad son complejas, pero su interfaz debe ser simple. El personal médico necesita una red segura a la que se pueda acceder de forma rápida y sencilla. Y necesitan la tranquilidad de saber que los datos de los pacientes están protegidos y que los dispositivos son seguros para poder concentrarse en su trabajo.
La enorme cantidad de dispositivos que se utilizan en los hospitales dificulta el control de la seguridad. Las organizaciones sanitarias modernas son responsables de cantidades masivas de datos de pacientes, además de una extensa red de dispositivos médicos conectados. Las organizaciones más grandes pueden actuar con miles de dispositivos médicos, todos conectados a su red, y cada uno actuando como una amenaza potencial.
El personal de atención médica, a menudo, está demasiado ocupado para mantenerse informado sobre las últimas amenazas a los dispositivos, lo que deja a los especialistas de ciberseguridad con la tarea de proteger toda una red de hardware contra ataques. Si solo un dispositivo se ve comprometido, toda la red se abre a violaciones de datos y piratería de dispositivos médicos.
La información sanitaria debe ser accesible, rápida y segura. Los datos confidenciales de los pacientes deben ser accesibles para el personal, tanto en el lugar como de forma remota, y en varios dispositivos. La naturaleza típicamente urgente de la actividad médica significa que el personal debe poder compartir información de inmediato; no hay tiempo para hacer una pausa y considerar las implicaciones de seguridad de los dispositivos que están utilizando.
Las organizaciones sanitarias más pequeñas también están en riesgo. Todas las organizaciones sanitarias pueden sufrir amenazas online. Las grandes empresas tienen la mayor cantidad de datos, lo que representa la mayor recompensa para los atacantes y los coloca como objetivos comunes.
Pero las empresas más pequeñas tienen presupuestos de seguridad más pequeños. Y las soluciones de ciberseguridad menos complejas y actualizadas significan que esas empresas, a menudo, se consideran un objetivo fácil, y una oportunidad de acceso de “puerta trasera” para apuntar a empresas más grandes.
La tecnología obsoleta en el sector de la salud es un punto débil. A pesar de todos los increíbles avances en tecnología médica en los últimos años, no todos los aspectos del sector de la salud se han mantenido a la par. Los presupuestos limitados, y la vacilación para aprender nuevos sistemas, a menudo significan que gran parte de la tecnología médica se está volviendo obsoleta.
Los hospitales que utilizan sistemas que aún publican actualizaciones del sistema deben mantener todo el software equipado con la versión más reciente.
Por lo general, contienen correcciones de errores para mantener los sistemas bastante seguros. Pero eventualmente, el software llegará al final de su vida útil y los proveedores dejarán de proporcionar actualizaciones.
Y ¿qué conclusiones podemos extraer de este artículo?
Sin duda, la principal, que la ciberseguridad en el sector sanitario español se enfrenta a múltiples desafíos estructurales y operativos, que ponen en riesgo no solo la confidencialidad de los datos, sino también la continuidad asistencial y la seguridad de los pacientes.
A pesar de los esfuerzos realizados en los últimos años, el sistema sanitario español continúa siendo un blanco atractivo para los ciberataques, en parte debido a una infraestructura digital fragmentada, inversiones insuficientes y una escasa cultura de la ciberseguridad entre los profesionales sanitarios.
A los principales problemas comentados como la obsolescencia tecnológica, la falta de inversión específica y la falta de concienciación del personal sanitario en ciberseguridad, hay que añadir una falta de coordinación entre los distintos niveles administrativos y técnicos. Aunque existen iniciativas como la Estrategia Nacional de Ciberseguridad (2023-2026), su aplicación en el ámbito sanitario carece de mecanismos específicos de seguimiento y auditoría.
Las comunidades autónomas tienen autonomía en la gestión sanitaria, pero no todas cuentan con estrategias o unidades especializadas en ciberseguridad, lo que genera disparidades territoriales preocupantes.
En resumen, la ciberseguridad en la sanidad española se encuentra en una situación crítica que requiere una actuación urgente y coordinada. Es imprescindible aumentar la inversión, actualizar las infraestructuras, promover una cultura de la seguridad digital y establecer marcos normativos específicos que obliguen a cumplir estándares mínimos en todos los niveles del sistema sanitario.
La protección de los datos de salud, y la garantía de la continuidad asistencial, no pueden seguir siendo aspectos secundarios en un entorno cada vez más digitalizado y expuesto a amenazas crecientes.
Es imprescindible que se adopten políticas públicas integrales que incluyan inversiones sostenidas en ciberseguridad, formación continua del personal y cooperación interinstitucional.
