Ciberseguridad: El nuevo reto estratégico para el sector de salud privado

En mayo de 2017, el sistema de salud del Reino Unido colapsó parcialmente por un ataque de ransomware conocido como WannaCry. Decenas de hospitales y consultorios tuvieron que cancelar cirugías, suspender consultas y regresar a la libreta y el lápiz para registrar a sus pacientes. Aquella crisis reveló algo que hasta entonces muchos subestimaban: la salud, que cada vez depende más de la tecnología, es también uno de los sectores más vulnerables a las amenazas cibernéticas. En Septiembre de 2020 un paciente en estado crítico falleció mientras era trasladada de emergencia al Hospital Universitario de Düsseldorf, debido a una falla sistémica por un ciberataque de ransomware que había paralizado los Sistemas del hospital, obligando a la ambulancia a desviarse y perdiendo un tiempo que resultó fatal.

Cinco años después, el riesgo es aún mayor. La transformación digital, acelerada por la pandemia, ha llevado a que historias clínicas, imágenes médicas, sistemas de telemedicina y hasta dispositivos conectados en una sala UCI estén expuestos a ataques cada vez más sofisticados. Este escenario no es una amenaza lejana, sino una realidad que puede impactar directamente en la continuidad del negocio, la confianza de los pacientes y la sostenibilidad financiera de nuestras instituciones. Fortiner, líder mundial en soluciones de ciberseguridad, indicó recientemente que Perú ha recibido 748,2 millones de intentos de ciberataques en el primer semestre de 2025. Los ciberdelincuentes, informan, han pasado de realizar ataques masivos e indiscriminados a ejecutar operaciones focalizadas basados en un meticuloso trabajo de reconocimiento previo.

1. Ya no somos un objetivo cualquiera, somos el blanco principal.

En los últimos cinco años, el sector salud ha dado un salto significativo en digitalización. La implementación de historias clínicas electrónicas, plataformas de telemedicina, sistemas de monitoreo remoto y la integración con aseguradoras y laboratorios han hecho más eficiente la atención. Sin embargo, cada nuevo sistema abre una posible puerta de entrada para atacantes. Los datos médicos son particularmente sensibles. No solo contienen información personal y financiera, sino que además revelan diagnósticos, tratamientos, historial genético y hasta la ubicación de un paciente en tiempo real. Este tipo de información es altamente valiosa en el mercado negro digital: se estima que un registro médico completo puede costar hasta diez veces más que una tarjeta de crédito robada. Además, la salud tiene una característica particular: no puede detenerse. Un banco puede congelar cuentas y negociar con calma frente a un ataque, pero una clínica no puede suspender su actividad porque su sistema haya sido hackeado. Esta dependencia crítica convierte a los hospitales y clínicas en objetivos especialmente atractivos para el cibercrimen.

Debemos reconocer además nuestras vulnerabilidades estructurales. Seamos brutalmente honestos sobre nuestra deuda técnica. Muchas de nuestras instituciones operan con sistemas informáticos heredados, que no tienen las características de seguridad básicas y que son imposibles de actualizar. Sobre ellas añadimos una explosión de exposición a tecnologías modernas, el Internet de las Cosas Médicas (IoMT) como son las modernas bombas de infusión, monitores de signos vitales o equipos de diagnóstico. Un informe reciente de Cynerio, empresa de ciberseguridad IoT para sanidad demuestra que más del 53% de estos dispositivos presentan vulnerabilidades críticas conocidas.

2. Panorama global de amenazas.

A nivel internacional, los casos son cada vez más frecuentes y más costosos. El ataque de WannaCry ya comentado Ciberseguridad: El nuevo reto estratégico para el sector de salud privado paralizó más de 80 hospitales del NHS en el Reino Unido. En Estados Unidos, varios grupos de clínicas han debido pagar millones de dólares en rescates o enfrentar demandas colectivas por filtraciones de datos. En América Latina, la situación no es distinta. En Brasil, hospitales de São Paulo sufrieron ataques que expusieron miles de historias clínicas. En México y Argentina también se han reportado filtraciones masivas de datos de pacientes y suspensiones de servicios de laboratorio. Y en nuestro país, muy recientemente, el grupo NightSpire robó 30 gigabytes de información de pacientes del Hospital José Agurto Tello de Chosica. Hoy la ciberdelincuencia es una industria, no un grupo de amigos en un garaje jugando con su laptop, no un lobo solitario que busca ganar unos dólares extra. Es un ecosistema de organizaciones gestionadas profesionalmente, un negocio a gran escala con estructuras similares a las de las empresas legitimas, que evoluciona muy rápido para seguir generando beneficios.

Las principales amenazas hoy incluyen:

  • Ransomware: secuestro de sistemas y datos a cambio de un pago.
  • Phishing y ataques de ingeniería social: correos o mensajes diseñados para engañar a colaboradores.
  • Robo de identidad médica: creación de perfiles falsos para acceder a seguros o medicamentos.
  • Manipulación de dispositivos conectados (IoT): desde monitores de signos vitales hasta bombas de infusión.

Según el Cost of a Data Breach Report de IBM (2023), el sector salud es el que más pierde por incidente: más de 11 millones de dólares en promedio por cada filtración, el doble que otros sectores. Jesús Manso Perez Cosio Gerente General Clinica Ricardo Palma LA COLUMNA DEL CEO 22 23 REVISTA DE LA ASOCIACIÓN DE CLÍNICAS PARTICULARES DEL PERÚ (ACP)

3. El caso peruano: dónde estamos.

En el Perú, la digitalización en salud avanza, aunque con fuertes contrastes. EsSalud y el Ministerio de Salud han impulsado sistemas de historia clínica electrónica y plataformas de teleconsulta, y varias clínicas privadas de primer nivel han invertido en infraestructura digital. Sin embargo, la mayoría de clínicas medianas y pequeñas todavía tienen limitaciones importantes en tecnología y seguridad.

Entre los principales retos locales destacan:

  • Infraestructura desigual: mientras algunas clínicas cuentan con sistemas en la nube y centros de datos modernos mientras que otras dependen de servidores antiguos o software sin soporte.
  • Regulación incipiente: aún no existe en el Perú un marco normativo específico y exigente sobre ciberseguridad en salud, más allá de las disposiciones generales de protección de datos. Algunos financiadores, como RIMAC, están poniendo el foco en el nivel de protección frente a ciberataques de sus proveedores, y no sería de extrañar que comiencen a considerar como crítico y determinante este factor a la hora de elegir a sus partners.
  • Inversión insuficiente: en muchas instituciones, el presupuesto de TI se destina a resolver problemas operativos inmediatos, dejando a la ciberseguridad como un “lujo”.
  • Capital humano limitado: escasean especialistas en seguridad informática dentro del sector salud, y el personal clínico-administrativo no siempre tiene formación para reconocer amenazas.

Esta combinación convierte a las clínicas peruanas en un blanco atractivo para ataques. Y aunque todavía no se han hecho públicas grandes crisis en instituciones privadas, sí se han reportado filtraciones de datos en entidades públicas y vulneraciones en otros sectores que sirven como advertencia.

4. Consecuencias de no protegerse.

El impacto de un ataque no se limita a lo tecnológico. Las consecuencias se pueden clasificar en cuatro dimensiones:

  1. Económica: pago de rescates, costos de recuperación, sanciones legales y pérdida de ingresos por suspensión de servicios. El reciente ataque a Change Healthcare en Estados unidos es aleccionador: UnitedHealth, la empresa matriz, pagó 22 millones de dólares, pero los costos totales de recuperación se estiman en 1.6 mil millones de dólares.
  2. Reputacional: la confianza de los pacientes y aseguradoras puede verse seriamente dañada. En salud, la credibilidad es un activo que se construye en décadas y se pierde en días.
  3. Operativa: un ataque puede paralizar quirófanos, laboratorios o sistemas de admisión. Cada hora de caída es un golpe a la eficiencia y un riesgo para los pacientes.
  4. Ética y humana: la más grave. La vida de los pacientes puede ponerse en riesgo directo si un sistema crítico falla o se manipula en un momento clave.

5. La paradoja de la inversión.

La ciberseguridad en salud es una inversión en continuidad y confianza. Sin embargo, representa un dilema financiero para muchas clínicas. Por un lado, los costos de implementar sistemas de protección avanzados, contratar expertos, realizar simulacros y mantener actualizaciones permanentes son significativos. Por otro, no hacerlo puede resultar aún más caro en caso de ataque. En clínicas grandes y con respaldo financiero sólido, la inversión suele asumirse como parte de la estrategia corporativa. Pero en clínicas medianas o en regiones fuera de Lima, destinar varios cientos de miles de dólares a ciberseguridad puede afectar seriamente los resultados financieros. Esta brecha genera un escenario de desigualdad: las instituciones con mayores recursos logran protegerse, mientras que las más pequeñas quedan vulnerables.

6. La ciberseguridad, un imperativo estratégico.

La ciberseguridad ya no es un tema exclusivo de los jefes de sistemas. Es una responsabilidad del directorio y debe estar en nuestras agendas. Algunas recomendaciones estratégicas:

  1. Elevar la gobernanza: la ciberseguridad debe ser tratada como uno de los mayores riesgos empresariales y por tanto es un tema de Directorio, que debe aceptar y promover el nombramiento de un Director de Seguridad de la Información (CISO) con autoridad y recursos para implementar una estrategia a corto, medio y largo plazo.
  2. Priorizar la inversión inteligente ya que no todas las medidas de seguridad tienen el mismo costo ni impacto. Enfocarse en implementar universalmente la autenticación multifactor (MFA) y la gestion rigurosa de los parches de seguridad, o la segmentación de la red, son medidas iniciales y asequibles de alto impacto.
  3. Fomentar la colaboración sectorial en el marco de la propia Asociación de Clínicas para abordar este desafío de manera colectiva. Negociar conjuntamente la adquisición de servicios y herramientas de ciberseguridad para reducir costos, desarrollar programas de capacitación y sensibilización estandarizados, etc.
  4. Cultura organizacional: la mayoría de ataques se inician con un error humano. Capacitar desde médicos hasta personal de limpieza para identificar correos sospechosos es más barato y efectivo que instalar decenas de firewalls.
  5. Planes de contingencia: no basta con prevenir. Cada clínica debe tener un plan claro de respuesta a incidentes, incluyendo protocolos de comunicación y continuidad asistencial.

7. Conclusiones.

La ciberseguridad ya no puede verse como un gasto secundario ni como un tema puramente técnico. Es un reto estratégico que toca directamente la sostenibilidad del negocio y nuestra misión de cuidar a los pacientes. La brecha entre quienes pueden invertir y quienes no lo logran crecerá si no se exploran modelos colaborativos e innovadores. Los próximos años marcarán una diferencia entre las clínicas que se anticipen y protejan, y las que esperen a enfrentar una crisis. La pregunta no es si seremos atacados, sino cuando.

La pregunta para cada líder del sector es sencilla: ¿queremos ser parte de las clínicas que reaccionan después de un ataque, o de aquellas que se preparan antes? La preparación que iniciemos hoy determinará si ese evento se convierte en un incidente manejable o en una catástrofe que ponga en riesgo a nuestra institución y a nuestros pacientes.

Related Posts

BACK