La ciberseguridad en el sector sanitario se ha convertido en una prioridad crítica debido al aumento de los ciberataques dirigidos a hospitales y centros médicos. Los expertos advierten sobre la complejidad que supone proteger los datos de los pacientes y los sistemas críticos de salud, subrayando la necesidad de coordinar y auditar las medidas de seguridad a lo largo de toda la cadena de proveedores.
Víctor Ronco, CEO de Zerod, destaca la vulnerabilidad particular del sector ante las amenazas digitales, destacando el impacto potencial sobre los pacientes y el riesgo operativo para las instituciones sanitarias: “El sector sanitario se enfrenta a una tormenta perfecta en términos de ciberseguridad. Los hospitales no solo gestionan información médica extremadamente sensible, sino que también dependen de sistemas complejos, con frecuencia desactualizados, y una extensa red de proveedores. Cada nuevo dispositivo, aplicación o sistema que entra en funcionamiento abre una nueva ventana de vulnerabilidad si no está adecuadamente protegido”.
El ciberataque al Hospital Clínic de Barcelona, en 2023, es un ejemplo claro de las devastadoras consecuencias que puede tener un incidente de este tipo. Durante el ataque, el hospital tuvo que suspender servicios esenciales, incluidos tratamientos y cirugías, mientras los profesionales se vieron obligados a operar manualmente. La paralización de sus sistemas digitales mostró la fragilidad de los centros sanitarios ante este tipo de amenazas y la urgencia de tomar medidas preventivas más estrictas. En este tipo de ataques, con frecuencia los ciberdelincuentes piden un rescate monetario para devolver el control de los sistemas y bases de datos de pacientes del centro sanitario afectado, bajo la amenaza de, de no hacerlo, vender la información en el mercado negro.
UN ECOSISTEMA COMPLEJO Y VULNERABLE
El aumento de la digitalización en el sector sanitario ha traído consigo enormes beneficios en términos de eficiencia y calidad asistencial. Sin embargo, también ha expuesto a hospitales y clínicas a riesgos cada vez mayores, debido a la creciente complejidad de sus ecosistemas tecnológicos. “Cada hospital o centro de salud trabaja con una extensa red de proveedores de equipos médicos, software de gestión, aplicaciones de salud y sistemas de almacenamiento de datos. Esta fragmentación de sistemas hace que sea especialmente difícil garantizar una protección homogénea frente a los ciberataques”, explica Víctor Ronco.
La complejidad de la cadena de suministro en el sector sanitario es uno de los principales retos en términos de ciberseguridad. “Los proveedores de equipos médicos, los desarrolladores de software y las plataformas de almacenamiento de datos deben estar alineados en una estrategia conjunta de seguridad. Si uno de esos eslabones es vulnerable, compromete la seguridad de todo el sistema hospitalario”, matiza el CEO de Zerod.
Los dispositivos médicos conectados, como monitores de pacientes, bombas de insulina o sistemas de diagnóstico, también son un punto crítico. La falta de actualizaciones de seguridad en muchos de estos dispositivos puede convertirlos en puertas de entrada para los ciberdelincuentes, con el riesgo añadido de que un fallo en estos equipos puede afectar directamente la vida de los pacientes.
El problema de la sensibilidad de los datos y la mayor dependencia del entorno digital es algo que afecta a los grandes centros sanitarios, pero también a pequeñas clínicas o incluso empresas emergentes en el sector, como startups. En este sentido, es habitual que las organizaciones de menor tamaño descuiden sus esfuerzos en materia de seguridad informática, haciéndolas aún más vulnerables y atractivas para los delincuentes. Por ello, es especialmente importante que estas organizaciones auditen sus sistemas informáticos de forma externa para identificar y remediar cualquier posible vulnerabilidad.
CIBERSEGURIDAD, UNA PRIORIDAD PARA SALVAR VIDAS
Los ciberataques en el sector sanitario no solo comprometen la privacidad de los datos, sino que pueden tener consecuencias directas sobre la salud de las personas. En el caso de un ataque que afecte a equipos médicos, las consecuencias pueden ser fatales si los dispositivos dejan de funcionar o si las operaciones hospitalarias se ven interrumpidas.
“Estamos hablando de vidas humanas en juego. No se trata solo de proteger datos, sino de asegurar que los hospitales y clínicas puedan seguir funcionando sin interrupciones”, alerta Víctor Ronco, que añade que: “Cuando un ataque cibernético interrumpe el acceso a historiales médicos o afecta la funcionalidad de los equipos médicos, las consecuencias son inmediatas y graves”.
RESPONSABILIDAD COMPARTIDA ENTRE HOSPITALES Y PROVEEDORES
Desde Zerod también destacan la importancia de que las instituciones sanitarias no asuman esta responsabilidad de manera aislada, sino que exijan a sus proveedores medidas de ciberseguridad robustas. “El sector sanitario debe avanzar hacia un modelo donde la seguridad cibernética sea una prioridad compartida. Los hospitales tienen que asegurarse de que todos sus proveedores, desde fabricantes de dispositivos médicos hasta desarrolladores de software, cumplan con los más altos estándares de seguridad”, afirma el CEO del primer marketplace de white hackers.
La dificultad de coordinarse con múltiples proveedores y equipos añade una capa extra de complejidad, que, según Víctor Ronco, sólo puede resolverse mediante políticas de ciberseguridad integrales y una constante auditoría de la infraestructura tecnológica y dispositivos. De lo contrario, cada nuevo proveedor que se incorpora a la red hospitalaria puede introducir nuevas vulnerabilidades.
IMPACTO PARA LAS COMPAÑÍAS Y HOSPITALES
El coste de un ciberataque no se limita a la interrupción temporal de los servicios médicos. Las instituciones de salud, tanto públicas como privadas, pueden enfrentar serias repercusiones financieras y reputacionales.
Además, la exposición de datos sensibles de los pacientes puede derivar en sanciones económicas por parte de las autoridades reguladoras, y en una pérdida irreversible de confianza por parte de los usuarios. Víctor Ronco mantiene que “el futuro de la sanidad depende de nuestra capacidad para adaptarnos a estas nuevas amenazas. Proteger los datos de los pacientes y garantizar la integridad de los sistemas médicos no es solo una cuestión técnica, es una cuestión de salvar vidas”.