Factum

Los datos de salud se convierten en un activo de alto valor para la ciberdelincuencia

La Voz de Galicia ha contado con Julián Delgado, Head of Offensive Security en Factum, para analizar el interés de los ciberdelincuentes por la información sanitaria, las principales vías de acceso a los sistemas y los retos de protección que afrontan hospitales, mutuas y organizaciones del sector.

La digitalización de la sanidad ha permitido mejorar la atención al paciente, agilizar procesos y facilitar el acceso a la información clínica. Al mismo tiempo, ha incrementado el volumen de datos personales, médicos, administrativos y financieros almacenados en los sistemas sanitarios.

Las historias clínicas concentran información especialmente sensible: datos identificativos, diagnósticos, tratamientos, antecedentes médicos, imágenes del DNI, nóminas, números de cuenta y documentación relacionada con el paciente.

Este conjunto de información ofrece a los ciberdelincuentes múltiples posibilidades de explotación, desde la suplantación de identidad y el fraude financiero hasta la extorsión y la preparación de ataques más personalizados.

«La obtención de imágenes del DNI, nóminas o determinados documentos supone el acceso a datos críticos. Con esa información se puede solicitar un crédito rápido de 3.000 o 5.000 euros»

El valor de la información sanitaria

El valor de una historia clínica depende de la cantidad, la calidad y el nivel de detalle de los datos obtenidos. Cuanto más completo sea el perfil de una persona, mayores serán las posibilidades de utilizarlo en campañas de fraude, ingeniería social o suplantación de identidad.

A diferencia de una contraseña, que puede modificarse, muchos datos personales y médicos acompañan a una persona durante toda su vida. Esta permanencia incrementa su utilidad para los grupos atacantes, que pueden almacenar, combinar y comercializar la información durante largos periodos de tiempo.

Los datos sustraídos suelen circular a través de foros especializados, canales privados y redes diseñadas para preservar el anonimato. En estos espacios, diferentes actores compran, venden y enriquecen la información para desarrollar nuevas acciones contra las víctimas.

«Los atacantes recolectan información, muchas veces de tipo personal, que posteriormente venden a otros ciberdelincuentes para perfilar a sus víctimas y preparar ataques»

De esta forma, una intrusión en una organización sanitaria puede convertirse en el primer paso de una cadena delictiva más amplia, donde distintos grupos participan en la obtención, distribución y explotación de los datos.

Las principales vías de acceso a los sistemas sanitarios

Los ataques contra organizaciones sanitarias suelen aprovechar oportunidades presentes en múltiples sectores. Los ciberdelincuentes realizan campañas masivas, identifican credenciales expuestas y buscan accesos que les permitan avanzar dentro de la infraestructura.

Una de las técnicas más utilizadas es el phishing. A través de correos electrónicos que imitan comunicaciones legítimas, los atacantes intentan obtener credenciales, cookies de sesión o información que facilite el acceso a los sistemas corporativos.

El correo electrónico continúa siendo una vía especialmente efectiva porque permite dirigirse a un gran número de profesionales y adaptar los mensajes a departamentos, proveedores, herramientas o procesos habituales de la organización.

Otra vía relevante está relacionada con la gestión del ciclo de vida de las identidades. Las cuentas de antiguos empleados, los accesos temporales y los permisos que permanecen activos amplían las posibilidades de entrada cuando carecen de una revisión continua.

Los grupos atacantes también pueden contactar con empleados o antiguos miembros de una organización para obtener colaboración, credenciales o información interna que facilite el acceso a los sistemas.

Este escenario refuerza la importancia de combinar concienciación, control de accesos, autenticación robusta, supervisión continua y procedimientos ágiles para revocar permisos.

Sistemas legacy y superficie de ataque

El sector sanitario convive con infraestructuras complejas, dispositivos médicos, aplicaciones especializadas y sistemas que mantienen ciclos de vida prolongados.

En muchos casos, determinadas plataformas siguen siendo esenciales para la actividad asistencial, aunque su arquitectura corresponda a generaciones tecnológicas anteriores. Estos sistemas legacy requieren medidas adicionales de protección, segmentación, monitorización y control de acceso.

La coexistencia de tecnología moderna y sistemas heredados crea entornos muy heterogéneos. Cada integración, dispositivo, aplicación o conexión con terceros puede incorporar nuevos puntos de exposición.

La protección de estos entornos exige conocer con precisión los activos disponibles, sus dependencias, las vulnerabilidades asociadas y el impacto que tendría una incidencia sobre la actividad asistencial.

La seguridad ofensiva desempeña un papel clave en este proceso. Las auditorías, los ejercicios de pentesting y las simulaciones de ataque permiten identificar debilidades antes de que puedan ser aprovechadas por actores maliciosos.

Del robo de datos a la extorsión

Una vez obtenido el acceso, los ciberdelincuentes buscan maximizar el valor económico del ataque. Para ello, pueden cifrar sistemas, sustraer información y utilizar la exposición pública de los datos como mecanismo de presión.

El importe exigido suele variar en función del tamaño de la organización, el volumen de información comprometida, la criticidad de los sistemas y la capacidad económica atribuida a la víctima.

Según explica Julián, los rescates pueden situarse desde cientos de miles hasta varios millones de euros. En el sector sanitario se han identificado peticiones que alcanzan los siete millones de euros, mientras que en otros ámbitos, como el financiero, las cifras pueden ascender hasta los 80 millones.

El impacto económico incluye también la recuperación de sistemas, la investigación del incidente, la paralización de procesos, la comunicación a los afectados, el refuerzo de la infraestructura y el posible daño reputacional.

Por este motivo, la prevención y la preparación adquieren un valor estratégico. Una organización con planes de continuidad, copias de seguridad protegidas, procedimientos de respuesta y equipos entrenados dispone de una mayor capacidad para contener el ataque y recuperar su actividad.

La descentralización de la sanidad española

La organización territorial de la sanidad española distribuye las competencias entre las comunidades autónomas. Este modelo genera diferentes estrategias, infraestructuras y niveles de madurez en materia de ciberseguridad.

La existencia de múltiples entornos incrementa el número de posibles objetivos, ya que cada comunidad gestiona sus propios sistemas y servicios. Al mismo tiempo, la distribución de la información limita el alcance potencial de una intrusión concreta, al mantener los datos repartidos entre diferentes administraciones.

Esta realidad plantea la necesidad de impulsar marcos comunes, compartir inteligencia sobre amenazas y reforzar la coordinación entre organismos públicos, hospitales, mutuas, proveedores tecnológicos y empresas especializadas.

La colaboración facilita la detección temprana de campañas, el intercambio de indicadores de compromiso y la adopción de medidas frente a amenazas que afectan a todo el sector.

La ciberseguridad como parte de la atención sanitaria

La protección de la información sanitaria trasciende el ámbito tecnológico. La disponibilidad de los sistemas, la integridad de los datos y la confidencialidad de las historias clínicas influyen directamente en la calidad asistencial y en la confianza de los pacientes.

Las organizaciones sanitarias necesitan integrar la ciberseguridad en su operativa diaria, desde el diseño de nuevas aplicaciones hasta la gestión de proveedores, dispositivos médicos, identidades y accesos.

La formación de los profesionales, la actualización de los sistemas, la segmentación de redes, la monitorización continua y la realización periódica de ejercicios de seguridad permiten reducir la superficie de ataque y mejorar la capacidad de respuesta.

«Los atacantes recolectan información, muchas veces de tipo personal, que a su vez venden a otros ciberdelincuentes que la utilizarán para perfilar a sus víctimas y atacarlas.»

Desde Factum, la seguridad ofensiva y la supervisión desde el SOC se entienden como herramientas complementarias para anticipar amenazas, detectar comportamientos anómalos y reforzar la resiliencia de las organizaciones.

En un contexto donde los datos sanitarios concentran un elevado valor personal, económico y estratégico, la ciberseguridad se convierte en una parte esencial de la protección del paciente y de la continuidad de los servicios de salud.

Resumen de privacidad
Factum: especialistas en ciberseguridad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.