Hay brechas de seguridad en sanidad que se detectan en cuestión de horas. Otras permanecen ocultas durante semanas. Y algunas pasan desapercibidas durante meses, mientras los atacantes acceden a sistemas, recopilan información y amplían su presencia sin levantar sospechas.
En este ámbito, el sanitario, ese tiempo marca la diferencia. No solo porque aumenta el volumen de datos comprometidos, sino porque los hospitales y centros de salud dependen de sistemas digitales que forman parte de la actividad asistencial diaria. Cuanto más tarda una organización en descubrir un incidente, mayor es su impacto.
Los informes publicados por IBM, ENISA y otros organismos internacionales coinciden en una misma idea: reducir el tiempo de detección y respuesta se ha convertido en uno de los grandes retos de la ciberseguridad sanitaria.
El coste de una brecha empieza mucho antes de descubrirla
El informe Cost of a Data Breach Report 2025, elaborado por IBM, sitúa al sector sanitario como el más afectado por el coste económico de las brechas de datos por decimocuarto año consecutivo. En 2025, el coste medio de una brecha alcanzó los 7,42 millones de dólares, por encima de cualquier otro sector analizado.
Sin embargo, el dato que mejor explica esa realidad no es económico.
Según el mismo informe, una organización sanitaria tarda 279 días de media en identificar y contener una brecha de seguridad. Es decir, más de nueve meses desde que se produce la intrusión hasta que el incidente queda controlado. La media global, para todos los sectores, es de 241 días.
Durante ese tiempo pueden producirse accesos continuados a información clínica, movimientos dentro de la red corporativa o interrupciones de servicios esenciales. Cuanto mayor es el tiempo de permanencia del atacante en los sistemas, mayor suele ser también el alcance del incidente y el coste de su recuperación.
Hospitales cada vez más conectados
La digitalización ha transformado la forma de prestar asistencia sanitaria. Historias clínicas electrónicas, plataformas de imagen médica, dispositivos médicos conectados o servicios de telemedicina forman ya parte del funcionamiento habitual de muchos centros.
Esta evolución aporta enormes ventajas para profesionales y pacientes, pero también hace que existan más sistemas que proteger y más puntos desde los que puede producirse un acceso no autorizado.
Según recoge Gaceta de Salud a partir de datos de Secure&IT y del informe de IBM, los sistemas de historia clínica electrónica concentran grandes volúmenes de información especialmente sensible. A ellos se suman los sistemas de diagnóstico por imagen (PACS), las plataformas de telemedicina y un número creciente de dispositivos médicos conectados, que amplían la superficie de exposición y plantean nuevos retos relacionados con la autenticación, la privacidad y la protección de las comunicaciones.
La interrupción de la actividad también tiene consecuencias
Cuando se habla de una brecha de seguridad, es habitual pensar en el robo de datos personales. En sanidad, sin embargo, las consecuencias pueden ir mucho más allá.
El estudio realizado por el Ponemon Institute en colaboración con Proofpoint, citado en el informe de SWIF, muestra que las organizaciones sanitarias que han sufrido ataques de ransomware han experimentado retrasos en pruebas diagnósticas y procedimientos, derivaciones de pacientes a otros centros, prolongación de estancias hospitalarias e incidencias que afectan directamente a la actividad asistencial.
En paralelo, el informe Data Breach Investigations Report 2025 de Verizon señala que las intrusiones en los sistemas —incluidos los ataques de ransomware y extorsión— se han convertido en el principal patrón de incidente en el sector sanitario.
Todo ello explica por qué organismos como ENISA consideran la sanidad uno de los sectores prioritarios dentro de las infraestructuras esenciales europeas y por qué la Directiva NIS2 refuerza las obligaciones de ciberseguridad para este tipo de organizaciones.
Los proveedores también forman parte del riesgo
La transformación digital de la sanidad no depende únicamente de hospitales y centros de salud. Gran parte de los servicios digitales se apoyan en empresas tecnológicas que desarrollan aplicaciones, gestionan plataformas o prestan servicios especializados.
El informe de Verizon refleja que las brechas relacionadas con proveedores y terceros pasaron de representar el 15 % al 30 % de los incidentes sanitarios analizados en un solo año. El caso de Change Healthcare, uno de los incidentes más relevantes de los últimos años en Estados Unidos, ha puesto de manifiesto el impacto que puede tener un ataque dirigido a un proveedor que presta servicio a numerosas organizaciones sanitarias.
La seguridad, por tanto, ya no depende únicamente de proteger la infraestructura propia. También exige conocer el ecosistema tecnológico con el que trabaja cada organización y evaluar los riesgos asociados.
Prepararse antes de que aparezca el incidente
Reducir el tiempo de detección, conocer qué dispositivos están conectados, identificar vulnerabilidades o comprobar cómo responderían los sistemas ante un incidente son medidas que ayudan a mejorar la capacidad de respuesta de cualquier organización sanitaria.
Ese es precisamente el enfoque con el que trabajamos en el Centro Demostrador de Ciberseguridad.
A través de casos de uso, demostraciones y entornos de experimentación, mostramos cómo aplicar la ciberseguridad a situaciones reales del ámbito sanitario. Si quieres conocer el Centro, asistir a una visita o descubrir cómo se abordan estos escenarios en un entorno práctico, puedes consultar las próximas actividades y los recursos disponibles en nuestra web.