En una sala de urgencias, cada segundo cuenta. Un clic puede activar un respirador… o desencadenar un ransomware. Lo que alguna vez fue territorio exclusivo de médicos y enfermeras ahora es también campo de batalla para la ciberdelincuencia. En septiembre de 2020, el Hospital Universitario de Düsseldorf fue golpeado por un ransomware que dejó sus sistemas inoperativos. Una paciente en estado crítico tuvo que ser derivada a un hospital a 32 kilómetros de distancia. No llegó a tiempo. El ciberataque no fue la causa oficial del fallecimiento en el informe forense, pero todos los que trabajaban en urgencias ese día saben lo que pasó. En el mundo moderno, el juramento hipocrático necesita incluir un firewall.

Porque ya no se trata de si un hospital será atacado, sino de cuándo. La ciberseguridad, ese tema antes relegado al rincón oscuro del departamento de TI, ha salido del sótano para ocupar una sala de cuidados intensivos. Y en un mundo donde un retraso de minutos puede costar vidas, la ciberseguridad en salud dejó de ser un tema técnico para convertirse en un asunto de seguridad pública.

¿Por qué los hospitales son el objetivo más codiciado del cibercrimen?

Los hospitales concentran datos médicos de altísimo valor. Una historia clínica completa contiene diagnósticos, información de contacto, números de seguro social y datos financieros. En el mercado negro digital, esos registros alcanzan precios diez veces superiores a los de una tarjeta de crédito robada. Este incentivo convierte al sector salud en un objetivo permanente y prioritario.

El problema no es solo el botín, sino la defensa: infraestructura obsoleta, operación continua sin ventanas de mantenimiento, y personal clínico sin entrenamiento en ciberhigiene. Los hospitales son, en palabras que ya se han convertido en referencia en la industria, como castillos medievales llenos de oro… pero con las puertas abiertas y los guardias distraídos salvando vidas.

La ironía es brutal. Mientras un cirujano realiza una operación a corazón abierto, una red sin parches puede estar abriendo otro corazón, pero a punta de código malicioso.

Cómo operan los ciberataques contra hospitales

Los hospitales no enfrentan una amenaza, sino un enjambre. Los ciberdelincuentes diversifican sus tácticas, combinando vectores técnicos con manipulación humana. Los más frecuentes:

• Ransomware: el secuestrador virtual que exige rescate en criptomonedas mientras los monitores cardíacos parpadean en modo pánico. Es la amenaza dominante: el 67% de los proveedores de salud atacados con ransomware en 2023 vieron sus datos cifrados.
• Explotación de IoT médico: bombas de insulina, ventiladores y monitores conectados a red sirven de puerta de entrada hacia sistemas críticos.
• Phishing dirigido: correos que imitan proveedores, aseguradoras o hasta el propio departamento de TI del hospital.
• Filtración de datos clínicos: historias completas de pacientes vendidas en la dark web como mercancía de lujo para fraudes de identidad médica.

Cada uno de estos ataques tiene consecuencias concretas. Y no hablamos de pérdidas contables abstractas, sino de vidas en pausa, diagnósticos sin imagen y emergencias gestionadas con lápiz y papel como si el siglo XXI se hubiera ido de vacaciones.

Los números que la industria prefiere no publicar

En mayo de 2021, el servicio público de salud de Irlanda (HSE) fue golpeado por el ransomware Conti. 80.000 empleados sin acceso a sistemas. Citas de oncología canceladas durante semanas. Cirugías aplazadas. El costo de recuperación superó los 100 millones de euros y el proceso tardó meses. El gobierno irlandés decidió no pagar el rescate de 20 millones de dólares, pero el daño operacional fue devastador de todas formas.

En febrero de 2024, Change Healthcare, la mayor plataforma de procesamiento de reclamaciones médicas de Estados Unidos, sufrió un ataque de ransomware del grupo AlphV que dejó sin procesar pagos a miles de farmacias y hospitales durante semanas. Las pérdidas estimadas superaron los 1.000 millones de dólares. Ciento cincuenta millones de registros de pacientes potencialmente comprometidos.

No son excepciones. Son el patrón.

Según el IBM Cost of a Data Breach 2024, el sector salud lleva 14 años consecutivos como la industria con el coste promedio de brecha más alto: 9,8 millones de dólares por incidente. Ningún otro sector se acerca a esa cifra. La banca, que siempre aparece como el blanco más codiciado en la conversación pública, llega a 6,1 millones. Los hospitales pagan más porque tienen menos con qué defenderse y más con qué perder.

El talón de Aquiles: presupuestos de migajas y estándares no vinculantes

Más allá de las vulnerabilidades técnicas, el problema es estructural. Los presupuestos de ciberseguridad en hospitales públicos son, en la mayoría de los países, una línea marginal del gasto en TI. En muchos casos, menos del 5% del presupuesto tecnológico se destina a proteger sistemas y datos.

Mientras la banca y la energía operan con marcos regulatorios estrictos y auditorías externas periódicas, la salud aún depende en muchos países de recomendaciones no vinculantes, léase: ignorables. Como si la protección de vidas pudiera dejarse a criterio de la voluntad política y la buena fe de los administradores hospitalarios.

Y por si fuera poco, está el factor de los terceros. Plataformas de telemedicina, aseguradoras, proveedores de software clínico… cada eslabón en esa cadena puede convertirse en la grieta por donde entra el ataque. Change Healthcare era un proveedor, no un hospital. Y la brecha afectó a toda la cadena de salud estadounidense.

En Latinoamérica, la exposición es aún más cruda

En México, la desconfianza hacia las plataformas digitales frena la digitalización, pero los sistemas que existen operan con décadas de deuda tecnológica. En Colombia, la falta de estándares obliga a improvisar defensas. En Brasil, los hospitales regionales ni siquiera tienen un equipo de TI propio: todo está tercerizado con contratos que no incluyen ninguna cláusula de ciberseguridad. En Argentina, la fragmentación entre sistemas públicos y privados crea islas digitales sin visibilidad centralizada.

Los criminales lo saben. LATAM es el laboratorio perfecto: alta digitalización acelerada, marcos regulatorios en construcción, escaso talento especializado y voluntad política inconsistente. El resultado son hospitales que son objetivos de oportunidad para grupos de ransomware que prefieren víctimas con poca capacidad de defensa y alta presión para pagar.

La cura: cirugía digital, no aspirinas de oferta

La defensa del sector salud exige algo que el sistema no está acostumbrado a prescribir: una combinación quirúrgica de tecnología, normativas y cultura institucional. No basta con instalar un antivirus de oferta ni con hacer backups mensuales en un disco olvidado en el cajón.

• Segmentar redes: para que un ataque en el sistema de facturación no llegue a los equipos de imagen diagnóstica o a los registros de urgencias.
• Autenticación multifactor en todos los accesos: sí, incluso cuando a las 3 a.m. el médico de guardia lo encuentre un engorro.
• Cifrado de historias clínicas en reposo y en tránsito: porque la privacidad del paciente es también un derecho terapéutico. Una estrategia de backup con recuperación ante desastres garantiza que un cifrado masivo no paralice la atención durante semanas.
• Simulacros periódicos de incidentes: como si fueran simulacros de incendio, porque los ciberataques también dejan cenizas.

Los gobiernos tienen un rol irremplazable. La creación de normas obligatorias de ciberseguridad hospitalaria, centros nacionales de ciberinteligencia en salud y marcos de responsabilidad para los proveedores externos puede marcar la diferencia entre un ataque contenido y una crisis sanitaria con nombre en los titulares.

El HSE de Irlanda, después del ataque de 2021, invirtió 212 millones de euros en transformar su infraestructura de seguridad. Llegaron tarde al diagnóstico, pero al menos tomaron el tratamiento en serio.

La pregunta no es si vendrá el próximo ataque. La pregunta es: ¿cuántos datos de pacientes valen lo que ahorras en ciberseguridad?