El sector sanitario vive una transformación digital sin precedentes. La historia clínica electrónica, la telemedicina o la analítica avanzada están revolucionando la atención al paciente, pero al mismo tiempo amplían la superficie de exposición a ciberataques. La Inteligencia Artificial (IA) se erige como una poderosa herramienta para proteger los sistemas, aunque también puede ser utilizada con fines maliciosos. En esta tensión entre oportunidad y amenaza se centró la Jornada sobre IA y Ciberseguridad en Sanidad, organizada por New Medical Economics con el patrocinio de Ribera Salud.
Durante casi dos horas, tres voces de referencia junto a José María Martínez, presidente ejecutivo de New Medical Economics y moderador de la jornada, debatieron sobre los desafíos del presente y del futuro: Mabel González Centenera, subdirectora general de la Agencia de Ciberseguridad de la Comunidad de Madrid; Luis Pérez Pau, CISO europeo del grupo sanitario Ribera Salud; y Miquel Pujol Rodríguez, key account manager en S2 Grupo.
Phishing, ransomware y un nuevo enemigo invisible
Los tres expertos coincidieron en señalar el phishing —ahora potenciado por la Inteligencia Artificial— como la principal vía de entrada de amenazas en los entornos hospitalarios.
“Antes un correo de phishing se reconocía por los errores gramaticales”, explicó Luis Pérez Pau. “Con la IA no: ahora están perfectamente escritos, maquetados con plantillas corporativas e incluso logotipos robados de tu propia organización”.
Mabel González Centenera advirtió que la IA “ha elevado el nivel del engaño a un spear phishing capaz de adaptar sus ataques al entorno y romper las barreras de seguridad”. El problema no termina ahí: esos correos maliciosos pueden convertirse en ransomware y paralizar servicios esenciales.
Por su parte, Miquel Pujol Rodríguez subrayó que “para un hospital lo más importante es evitar la interrupción de los servicios esenciales y la manipulación de datos clínicos”. Y añadió: “El phishing es solo la puerta de entrada. Con la IA, esos mensajes son mucho más convincentes y específicos: se hacen pasar por personal médico o administrativo, y logran robar credenciales con una facilidad alarmante”.
El eslabón humano: formar para proteger vidas
Todos los ponentes coincidieron en que la ciberseguridad hospitalaria depende tanto de la tecnología como de la cultura de los profesionales.
“El personal sanitario es el más difícil de concienciar”, reconoció González Centenera. “Su prioridad es salvar vidas, y todo lo que no sea eso les parece un obstáculo. Pero deben entender que en su mano está proteger los datos y garantizar la continuidad asistencial”.
Pujol coincidió plenamente: “Tenemos que huir de la idea de que los expertos son los únicos responsables. Nos están atacando cada día y todos debemos ser parte de la defensa. La vigilancia digital es tarea de todos”.
Desde el ámbito privado, Pérez Pau apuntó que la formación interna y la trazabilidad de accesos son esenciales: “En Ribera Salud realizamos formaciones anuales de protección de datos y mostramos a los profesionales casos reales de sentencias judiciales por accesos indebidos a historias clínicas. Comprender las consecuencias es el primer paso para generar verdadera concienciación.”
Clínicas pequeñas, grandes vulnerabilidades
Los ataques no solo amenazan a los grandes grupos sanitarios. Las clínicas pequeñas o proveedores asociados son, de hecho, uno de los puntos más débiles de la cadena.
“La normativa se ha puesto muy seria con la cadena de suministro, porque muchas veces los grandes dependen de pequeños proveedores”, recordó Mabel. “El caso de Düsseldorf durante la pandemia lo demostró: un ransomware en una clínica proveedora paralizó un servicio de urgencias hospitalario”.
Pujol añadió que “las clínicas pequeñas son objetivos ideales porque tienen menos recursos y se convierten en la puerta de entrada a organizaciones más grandes”.
IA defensiva: detectar lo invisible
Más allá del riesgo, la jornada también evidenció el enorme potencial de la IA como aliado en la defensa cibernética.
“La Inteligencia Artificial nos permite detectar en segundos anomalías que cien personas no verían ni trabajando las 24 horas», afirmó Pérez Pau. «Procesamos decenas de miles de registros diarios: la IA analiza, correlaciona y alerta antes de que el ataque se materialice”.
Para Miquel Pujol, el valor de la IA se concentra en tres ámbitos: “La detección temprana de anomalías, la correlación de alertas en tiempo real y la generación de inteligencia de amenazas”. Gracias a esto, se reduce el tiempo de respuesta y se libera a los equipos humanos para centrarse en la contención.
Aun así, todos subrayaron la necesidad de supervisión humana. “En sanidad no puedes paralizar un equipo médico en plena operación por una falsa alerta”, recordó Mabel. “Automatizar la respuesta sin control puede poner en riesgo vidas”.
Normativa: un paso por detrás, pero imprescindible
El debate también abordó la evolución de la normativa en materia de ciberseguridad e Inteligencia Artificial, especialmente la transposición de la directiva europea NIS2.
“La normativa siempre va por detrás de las amenazas, pero es un motor necesario”, señaló González Centenera. “Está logrando que las direcciones asuman que serán responsables directas de la ciberseguridad de sus organizaciones”.
Luis Pérez Pau coincidió en la necesidad de ese marco: “En España contamos con una cultura de cumplimiento avanzada gracias al Esquema Nacional de Seguridad y a la ISO 27001. Pero debemos actualizar los decretos: el de 2022 tardó 12 años en llegar y aún no menciona la IA”.
Según Pujol, la regulación “es positiva porque evita que el interés decaiga con el tiempo. Sin obligación, el impulso se diluye; con la normativa, se mantiene el compromiso”.
Talento y colaboración: el reto humano
La falta de profesionales especializados fue otro punto de coincidencia. “Falta mucho talento en ciberseguridad, y aún más con conocimientos en Inteligencia Artificial”, lamentó Luis Pérez.
Pujol explicó que desde S2 Grupo han creado su propia escuela, Enigma, para formar a ingenieros, informáticos e incluso criminólogos en ciberseguridad práctica. “Llevamos 14 ediciones y seguimos teniendo más demanda que oferta. Es un mundo apasionante, pero con mucha rotación”.
Mabel destacó la importancia de la cooperación público-privada: “En ciberseguridad los malos están fuera, no dentro. Por eso las comunidades autónomas compartimos información, alertas e incidentes cada semana. Es la única forma de mejorar. También se hacen jornadas con diferentes empresas para poder aprender unos de otros”.
El futuro: la IA como campo de batalla
El cierre de la jornada dejó una visión común: la IA será tanto escudo como campo de batalla en los próximos años.
“La IA nos ayudará en muchos procesos, pero también nos complicará la vida en otros”, resumió Pérez Pau.
“Más que un escudo automático, es un terreno de conflicto”, opinó González Centenera. “Ya está integrada en la práctica médica diaria, pero aún no se ha formado suficientemente sobre sus riesgos. Se ha abierto la puerta a las nubes, a la circulación de datos sensibles sin pleno control, y eso nos obliga a mirar hacia atrás y reforzar las bases”.
Para Pujol, “la IA es un copiloto, no el piloto. Puede ayudarnos a ver lo que no vemos, pero la decisión última —técnica o clínica— siempre debe ser humana”.
Conclusión: un equilibrio delicado
La jornada dejó clara una idea: la transformación digital de la sanidad es imparable, y su seguridad, un asunto de Estado.
El uso responsable de la IA marcará la diferencia entre una sanidad más eficiente y una más vulnerable.
Como sintetizó González Centenera: “La ciberseguridad no es solo tecnología. Es cultura, formación, y, sobre todo, responsabilidad compartida”.
