¿Cómo garantizar la ciberseguridad de los centros sanitarios?
La transformación digital en el ámbito de la salud ha revolucionado la forma en que se administra y gestiona la atención sanitaria. Sin embargo, esta mayor digitalización también ha expuesto a los centros sanitarios a mayores riesgos.
De hecho, según la ANSSI, los hospitales representaban el 10 % de las víctimas de ransomware en Francia en 2023.
Esta situación llevó al Tribunal de Cuentas a interesarse por la cuestión y a elaborar un informe titulado «La seguridad informática de los centros sanitarios», publicado en enero de 2025.
Destaca las deficiencias actuales en materia de ciberseguridad en el ámbito de la salud y propone soluciones para remediarlas.
Centros sanitarios y ciberseguridad: un contexto preocupante
La evolución digital y sus consecuencias
En los últimos años, los centros sanitarios han adoptado herramientas digitales para optimizar sus operaciones.
Las nuevas tecnologías están presentes en todos los servicios y en todos los niveles de los centros sanitarios, desde los equipos de diagnóstico por imagen hasta los programas informáticos de gestión hospitalaria.
Aunque estos avances son esenciales para mejorar la calidad de la atención sanitaria, también aumentan la exposición a los ciberataques.
Los centros sanitarios gestionan datos sensibles, en particular información personal y médica de los pacientes, que son especialmente codiciados por los ciberdelincuentes.
La confidencialidad, integridad y disponibilidad de estos datos deben garantizarse para asegurar la confianza de los pacientes y el buen funcionamiento de los servicios.
Por ejemplo, un ciberataque dirigido a un hospital puede comprometer el acceso a los historiales médicos electrónicos, lo que retrasaría los diagnósticos y los tratamientos.
Una gran variedad de amenazas cibernéticas
El informe del Tribunal de Cuentas identifica varios tipos de ciberataques que pueden afectar a los sistemas informáticos de los centros sanitarios:
- El ransomware: este tipo de software malicioso cifra los datos de las víctimas y exige un rescate para restablecer el acceso a ellos. Estos ataques pueden paralizar por completo un hospital.
- Violaciones de datos: el robo de expedientes médicos puede tener graves consecuencias, desde la suplantación de identidad hasta el chantaje.
- Los ataques DDoS (Distributed Denial of Service, denegación de servicio distribuida): su objetivo es inutilizar los servicios en línea de las instituciones, paralizando de facto una parte de los servicios.
- Ataques de phishing: intentos de comprometer al personal hospitalario para acceder a la red informática o extraer información personal.
- Desfiguración de sitios web: una técnica utilizada a menudo por los hacktivistas para transmitir un mensaje político con gran repercusión mediática.
¿El sistema sanitario francés en el punto de mira?
Según la ENISA,Francia es el país más afectado de la Unión Europea por los ciberataques en el sector sanitario en sentido amplio (hospitales, laboratorios, mutuas, industria farmacéutica, etc.), como ilustra la siguiente infografía.
Fuente: ENISA. Mapa de incidentes de ciberseguridad observados en el ámbito de la salud entre enero de 2021 y marzo de 2023.
Sin embargo, esta afirmación debe relativizarse por al menos dos razones. En primer lugar, Francia cuenta con más centros sanitarios que otros países, lo que amplía la superficie de ataque.
Por otra parte, desde 2016, los centros sanitarios franceses tienen la obligación de notificar cualquier incidente grave de ciberseguridad, lo que no es necesariamente el caso en todos los países europeos.
No obstante, la ciberseguridad del sector sanitario es un tema importante en nuestro país.
Diagnóstico de la ciberseguridad en los centros sanitarios
Las principales deficiencias identificadas
El Tribunal de Cuentas destaca varias deficiencias estructurales y organizativas que exponen a los centros sanitarios a importantes riesgos cibernéticos:
- Gobernanza insuficiente
Muchos centros no cuentan con una estrategia clara en materia de ciberseguridad. Esta falta de gobernanza suele deberse a que no se da prioridad a estas cuestiones, en favor de otras limitaciones presupuestarias y operativas. Además, las directrices nacionales no siempre se adaptan a las necesidades específicas de los hospitales locales.
- Recursos humanos limitados
Las instituciones sufren una grave escasez de especialistas en ciberseguridad. Los equipos encargados de los sistemas de información suelen estar infradotados y carecen de la formación necesaria para hacer frente a las amenazas actuales. Los hospitales tienen dificultades para atraer a perfiles que podrían aspirar a salarios mucho más elevados en otros sectores. Como consecuencia, el 5 % de los puestos de los servicios informáticos de los hospitales están vacantes.
- Sistemas obsoletos
Muchas instituciones siguen utilizando equipos y programas informáticos obsoletos. Estos sistemas, que ya no reciben actualizaciones, presentan fallos que pueden ser aprovechados por los ciberdelincuentes.
Fuente: Tribunal de Cuentas
- Sensibilización insuficiente
El personal hospitalario, tanto administrativo como médico, no siempre es consciente de las buenas prácticas en materia de ciberseguridad. Esto puede traducirse en comportamientos de riesgo, como el uso de contraseñas débiles o hacer clic en enlaces de phishing.
Las consecuencias de las fallas de seguridad
Los ciberataques en el sector sanitario pueden tener graves repercusiones:
- Interrupción de los servicios : la indisponibilidad de los sistemas puede obligar a un centro a cerrar algunos servicios esenciales, como Urgencias, retrasar tratamientos vitales, aplazar ingresos, etc.
- Interrupción de la atención médica: con un sistema informático inoperativo, es muy difícil para el personal hospitalario seguir garantizando la seguridad de los pacientes ingresados en el centro. ¿Cómo saber, por ejemplo, qué paciente se encuentra en qué habitación?
- Pérdida de confianza : tras un ciberataque que haya provocado una fuga de datos, los pacientes y socios pueden poner en duda la capacidad de la institución para proteger información que, por naturaleza, es altamente confidencial.
- Gestión administrativa y financiera: la paralización de los sistemas puede impedir que los servicios administrativos gestionen los movimientos financieros esenciales del día a día (facturas, nóminas, etc.).
- Altos costes financieros : según las estimaciones proporcionadas por los hospitales que han sufrido ciberataques, el coste total de un ciberataque puede ascender a 20 millones de euros, teniendo en cuenta la pérdida de ingresos operativos.
Cabe señalar que, en ocasiones, el coste de los ciberataques es sufragado por la ARS a través del fondo de intervención regional, pero esto no es algo sistemático. Por lo tanto, algunos hospitales víctimas pueden encontrarse en una situación financiera muy compleja tras un ataque informático.
¿Cómo mejorar la ciberseguridad de los centros sanitarios?
Reforzar la gobernanza
Es indispensable establecer una gobernanza clara y centralizada de la ciberseguridad.
Esto incluye el nombramiento de un responsable de la seguridad de los sistemas de información (RSSI) en cada establecimiento, así como la elaboración de planes estratégicos adaptados.
Los RSSI deben tener la autoridad suficiente para imponer cambios y garantizar la aplicación de las políticas de seguridad.
Aumentar los recursos humanos y técnicos.
Es fundamental que los centros sanitarios inviertan tanto en la contratación de personal cualificado para proteger los sistemas como en la renovación de las herramientas informáticas obsoletas.
Evidentemente, en ambos casos, el aspecto financiero es un factor tan clave como limitante en un contexto presupuestario muy complejo.
Fomentar la cultura de la auditoría y la colaboración
Se deben realizar auditorías periódicas para identificar las deficiencias y supervisar los progresos realizados.
Al mismo tiempo, una mejor coordinación entre los centros sanitarios puede ser un factor determinante para la resiliencia y una vía para hacer frente a la falta de recursos financieros.
Sensibilizar al personal sobre la ciberseguridad
Por último, la formación del personal es fundamental para reducir los comportamientos de riesgo. Deben llevarse a cabo campañas de sensibilización específicas para inculcar una verdadera cultura cibernética en los equipos.
Ese es el sentido de la solución AvantdeCliquer , que propone una sensibilización continua y mediante la acción para aprender a frustrar los intentos de phishing.
El Tribunal de Cuentas recuerda que, según los años, el phishing representa la primera o segunda fuente de incidentes notificados al Cert Santé.
Ahora más que nunca, el ser humano debe ocupar un lugar central en la protección de los sistemas digitales de los centros sanitarios.
Más información sobre la oferta AvantdeCliquer dedicada al mundo de la salud.
Conclusión: necesidad de acompañamiento a largo plazo
La seguridad informática es un reto fundamental para el sector sanitario. Aunque las instituciones aún deben subsanar numerosas deficiencias, el informe del Tribunal de Cuentas ofrece recomendaciones concretas para reforzar su resiliencia frente a las ciberamenazas.
La digitalización continua de los servicios sanitarios requiere un compromiso constante con la ciberseguridad. Esto implica, entre otras cosas, proporcionar ayuda financiera a largo plazo a los centros sanitarios.
Una iniciativa ya puesta en marcha por el programa «Cyberaceleración y resiliencia de las instituciones» (CaRE), que prevé una financiación de 750 millones de euros para la seguridad de los sistemas informáticos entre 2023 y 2027.
Sin olvidar, como subraya el Tribunal de Cuentas, que «el fin del programa CaRE no supondrá el fin de la necesidad de proteger los sistemas de información de los centros hospitalarios».
DSI, RSSI, DPO, solicite una demostración gratuita de la solución totalmente automatizada de sensibilización sobre el phishing:
