La transformación digital ha revolucionado numerosos sectores, incluido el de la salud. La digitalización ofrece eficiencia y precisión en los tratamientos y diagnósticos, pero también ha abierto la puerta a un nuevo conjunto de riesgos, entre ellos los ciberataques. El sector de la salud en España, como en muchos otros países, no es inmune a esta creciente amenaza, y el reciente incidente en el Hospital Clínic de Barcelona, en marzo de este año, es un testimonio preocupante de nuestra vulnerabilidad colectiva.
Aún está en la memoria colectiva el ataque de ransomware que sufrió el Hospital Clínic de Barcelona, que paralizó sus sistemas informáticos durante días. Esto llevó a la cancelación de numerosas citas médicas, interrupción en el suministro de medicamentos, publicación de información, violaciones a la intimidad de los pacientes y, lo más preocupante, a un impacto en la atención de pacientes en estado crítico. Este incidente, aunque perturbador, es solo la punta del iceberg y debería servir como una llamada a la acción para fortalecer nuestras defensas en ciberseguridad.
Los hospitales y clínicas españolas albergan una gran cantidad de datos personales y médicos. La confidencialidad y la integridad de estos datos son cruciales. Sin embargo, los sistemas actuales muestran una falta de robustez en sus protocolos de seguridad. Muchos establecimientos todavía utilizan sistemas operativos obsoletos y carecen de políticas de seguridad informática actualizadas. Además, el personal médico y administrativo a menudo carece de formación en buenas prácticas de ciberseguridad, lo que incrementa la posibilidad de brechas por error humano.
A pesar de que existen directrices como el Esquema Nacional de Seguridad en España, el Reglamento General de Protección de Datos (RGPD) o la directiva de ciberseguridad (NIS2) de la de la Unión Europea, la implementación y el cumplimiento siguen siendo desafíos significativos. Además, la inversión en ciberseguridad todavía se percibe como un gasto "extra" en lugar de una necesidad.
En Advens llevamos años ayudando a empresas del sector de la salud en Europa. En la actualidad, estamos protegiendo, a través de nuestro sistema de monitorización, detección y respuesta a ciber incidentes a más de 200 hospitales en Europa. A través de nuestra experiencia en este sector, recomendamos unas medidas básicas que todo hospital debería seguir. La primera: formación del personal. Los empleados en todos los niveles deben recibir formación regular en ciberseguridad para minimizar el riesgo de ataques por ingeniería social o error humano. La segunda medida, actualización de sistemas. Es imperativo actualizar los sistemas operativos y el software para corregir las vulnerabilidades existentes. La tercera media consiste en establecer auditorías de seguridad periódicas para evaluar y fortalecer la infraestructura existente. Después, protección en el puesto de trabajo, mediante la implantación de soluciones EDR en los endpoints y, por último, la implantación de un plan de monitorización y respuesta a incidentes.
La ciberseguridad en el sector de la salud español es una preocupación que requiere atención inmediata. El incidente en el Hospital Clínic de Barcelona es un claro ejemplo de las consecuencias devastadoras que pueden resultar de no tomar medidas preventivas. La digitalización en el sector salud ha llegado para quedarse, y con ella, la necesidad de un enfoque robusto en ciberseguridad. Es hora de actuar antes de que las consecuencias sean irreparables.
