El sector sanitario se ha convertido en uno de los principales objetivos de los ciberataques. En Europa, es uno de los más atacados, con un 37% más de incidentes graves en 2023 según la Agencia de la Unión Europea para la Ciberseguridad (ENISA). En nuestro país, el sector salud reporta un aumento similar del 37% en ataques, destacando ransomware como LockBit y BlackCat.
Y es que, en los últimos años, casos como el Hospital Clínic de Barcelona, en el año 2024, evidencian la vulnerabilidad. La digitalización —telemedicina, historiales electrónicos, IoT médico— amplía la superficie de ataque, es decir, más «puertas» por las que un ciberdelincuente puede entrar en el sistema de un hospital. De acuerdo al estudio ENISA THREAT LANDSCAPE, la sanidad registra el 8% de los incidentes de ciberseguridad.
«Actualmente, el ransomware es la amenaza más común, responsable de más del 50% de los casos, con gran impacto en la operativa hospitalaria», explica a este periódico Miguel López, Regional Sales Director Southern Europe de Barracuda.
Le siguen el phishing y spear phishing, que buscan robar credenciales, y las fugas de datos de historiales médicos, muy valiosos en el mercado negro —que puede costar entre 30 y 900 euros—. También son relevantes los ataques a dispositivos médicos conectados y las denegaciones de servicio (DDoS), que pueden interrumpir servicios críticos.
Buena parte de los ciberataques que se atribuye esta semana un grupo de hackers son falsos. En la foto, un internauta maneja códigos de una web. / EFE
Los ciberataques en hospitales comprometen la seguridad de los pacientes
El sector sanitario es más vulnerable que banca, transporte o energía debido a la naturaleza de sus activos, la baja tolerancia a interrupciones y un menor nivel de madurez en ciberseguridad, recalca López.
Los hospitales manejan datos médicos extremadamente sensibles y sistemas clínicos que afectan directamente a la vida de las personas, lo que lo convierte en un objetivo prioritario para ciberataques. «A diferencia de la banca y la energía, que cuentan con décadas de inversión y regulaciones estrictas, la sanidad ha digitalizado rápidamente sus procesos sin integrar plenamente la seguridad, manteniendo infraestructuras heredadas y presupuestos limitados«.
Un ciberataque en el sector sanitario puede comprometer «gravemente» la seguridad del paciente y la continuidad asistencial
Además, su superficie de ataque es «amplia por el uso masivo de dispositivos IoT médicos, redes complejas y personal no técnico que accede a sistemas críticos. En otros sectores, aunque también existen riesgos, hay mayor control de accesos, segmentación de redes y planes de contingencia más maduros, lo que reduce su exposición relativa frente a la sanidad».
Un ciberataque en el sector sanitario puede comprometer «gravemente» la seguridad del paciente y la continuidad asistencial, ya que los sistemas digitales son esenciales para diagnósticos, tratamientos y coordinación clínica. «La caída de la historia clínica electrónica, sistemas de laboratorio o imagen médica provoca retrasos en diagnósticos y terapias, y aumenta el riesgo de errores médicos por falta de información actualizada«, especifica.
Si se ven afectados dispositivos médicos conectados, como respiradores o bombas de insulina, las consecuencias pueden ser críticas. Además, los hospitales atacados suelen desviar pacientes a otros centros, incrementando los tiempos de respuesta.
En cuanto a la continuidad asistencial, enfatiza el especialista en ciberseguridad sanitaria, un ataque puede paralizar quirófanos, consultas y sistemas de cita previa, provocar pérdida irreversible de datos si no hay copias seguras, y sobrecargar a otros hospitales. La recuperación puede tardar semanas, con un impacto prolongado en la atención.
Valencia . Imagenes de la puerta de Urgencias del Hospital La Fe de Valencia. / Francisco Calabuig / LEV
Sin poder atender en urgencias
El caso del Hospital Clínic de Barcelona no es el único ejemplo reciente. El Hospital Universitario Düsseldorf (Alemania) sufrió un ciberataque en septiembre de 2020 a través de un ransomware —un software malicioso que secuestra los datos de una persona u organización— que afectó a sistemas críticos. No pudo recibir a una paciente en urgencias, que tuvo que ser trasladada a otro centro sanitario.
El Health Service Executive (HSE) —el sistema de salud de Irlanda— también fue atacada por ciberdelincuentes en mayo de 2021. Este ataque tuvo un enorme impacto con el colapso del sistema de citas, diagnósticos y laboratorios de todo el país. Se tuvieron que cancelar consultas de forma masiva y se produjeron retrasos en tratamientos de pacientes oncológicos y otros enfermos críticos.
Un ataque puede paralizar quirófanos, consultas y sistemas de cita previa, provocar pérdida irreversible de datos si no hay copias seguras, y sobrecargar a otros hospitales
El experto en seguridad informática matiza que «la caída de la historia clínica electrónica, sistemas de laboratorio o imagen médica provoca retrasos en diagnósticos y terapias, y aumenta el riesgo de errores médicos por falta de información actualizada. Si se ven afectados dispositivos médicos conectados, como respiradores o bombas de insulina, las consecuencias pueden ser críticas».
Ante este tipo de situaciones, la solución es derivar pacientes a otros centros, incrementando los tiempos de respuesta. En cuanto a la continuidad asistencial, un ataque puede paralizar quirófanos, consultas y sistemas de cita previa, provocar pérdida irreversible de datos si no hay copias seguras, y sobrecargar a otros hospitales.
Falta de inversión
A su juicio, las principales barreras para implementar ciberseguridad efectiva en hospitales y centros sociosanitarios son «presupuestos limitados, que priorizan la atención directa sobre la inversión en seguridad, y falta de personal especializado en entornos clínicos». Además, el cumplimiento de normativas como NIS2 —Directiva de Seguridad de Redes y Sistemas de Información 2— y RGPD —Reglamento General de Protección de Datos— «exige recursos y coordinación que muchos centros aún no tienen consolidados».
Por eso, para anticipar y mitigar ciberataques en el sector sanitario «se recomienda adoptar un enfoque Zero Trust, que verifique continuamente la identidad y permisos de cada usuario o dispositivo. La segmentación de redes permite aislar sistemas críticos y limitar la propagación de amenaza».
