La sanidad se 'acostumbra' al chantaje de los hackers: "No hay que pagar"

El Govern de Cataluña puso en marcha una nueva estrategia de ciberprotección integral y sus servicios públicos el pasado junio. El ámbito sanitario es uno de los siete ejes principales donde se iban a priorizar las medidas, con el objetivo de que las actuaciones previstas lleguen a cerca de 200 centros sanitarios en todo el territorio. De hecho, se trata del sector donde la recuperación tras una filtración de datos genera un impacto económico más alto, y en 2024 se registraron 1.257 millones de ciberataques. De todo ello habla la responsable de Seguretat de la Informació a l’entorn de Salut de l’Agència deCiberseguretat de Catalunya, Eva Jorquera, en una entrevista a Redacción Médica, donde adelanta las siguientes acciones del modelo de ciberseguridad en sanidad.

En 2024, en el ámbito sanitario se registraron 1.257 millones de ciberataques. ¿Continúan incrementándose?

Sí, la previsión es que continúen incrementándose. El volumen global de ciberataques aumenta y además la sanidad es un objetivo claro. Cuando hablamos con las entidades sanitarias explicamos que si los atacantes descubren puntos débiles o vulnerabilidades, intentaran aprovecharlas y atacar a través de ellas. El objetivo principal es evitar que esos ataques acaben convirtiéndose en incidentes, y que, en el caso de producirse, el impacto sea lo más reducido posible para evitar afectación en la asistencia y en los pacientes.

En 2024, de 6.900 millones de ciberataques detectados por la Agencia de Ciberseguridad de Cataluña, 1.257 millones fueron en el ámbito sanitario. Si el año que viene asciende la cifra total, en el ámbito de salud también subirá. Cabe añadir que estamos ampliando el modelo a más líneas asistenciales, además de la hospitalaria del Siscat, también se ha iniciado el despliegue en entidades sociosanitarias y de salud mental. Por lo tanto, tendremos más visibilidad y más capacidad de detección de ataques.

¿Cuál es el grado de exposición a las principales amenazas de hospitales?

Tanto nuestro servicio de tendencias como el de inteligencia operativa coinciden en que las amenazas principales del sector sanitario son el ransomware y la filtración o robo de datos. Según un estudio realizado por Sophos en el 2024, un 22 por ciento de los incidentes de ransomware implicaron robo de datos.

Debemos ser conscientes que no somos infalibles y tenemos que estar preparados para los incidentes. Por eso trabajamos con las entidades en medidas de recuperación como copias inmutables y ejercicios de simulacros de incidentes. Las tendencias apuntan a un incremento de ataques de ransomware a entidades más pequeñas, razón de más para que si ya hemos desplegado el modelo en hospitales, este 2026 vayamos a cubrir el ámbito sociosanitario y de salud mental.

¿Por qué es importante cubrir el ámbito sociosanitario y salud mental?

Los ataques se producen cada vez más por automatización y aún más con la ayuda de la Inteligencia Artificial, con lo cual el ciberdelincuente puede disparar a muchas más entidades para ver en cuál tiene efecto. Además, el entorno de salud está muy interconectado. Es necesario, por tanto, cubrir entidades que acostumbran a ser más pequeñas pero que podrían representar una puerta de entrada para los atacantes.

Los ciberdelincuentes buscan paralizar los hospitales y exigir el pago de un rescate. En el momento en que se dejaron de pagar rescates, fueron a buscar sectores que fueran muy críticos, como el sanitario. Estamos hablando de rescates exigidos de 4 millones de dólares de media, la segunda cifra más alta por sectores, según un estudio del 2024 de Sophos. El ransomware busca la paralización del hospital y la extorsión exigiendo un rescate para recuperar la actividad. A menudo amenazan con publicar los datos extraídos, siendo una doble extorsión, como ocurrió en el caso del Hospital Clínic. Nuestra recomendación es que no se pague. En ocasiones, hay entidades que han pagado y que solo han recuperado parte de los datos o han vuelto a ser atacados.

¿Se está trabajando con los centros de Atención Primaria?

Se está dotando a estas entidades de herramientas tecnológicas, como EDRs, que son como unos antivirus pero con capacidades avanzadas de detección y respuesta, a través de los fondos europeos de Recuperación y Resiliencia (MRR). Esto facilitará, a través de la monitorización y detección, la generación de alertas para detectar actividad inusual y actuar. También se están incluyendo progresivamente en el modelo.

¿Cómo de importante es desplegar el modelo de ciberseguridad más allá de hospitales?

Las entidades del Siscat comparten datos, una parte de infraestructura y aplicaciones, con lo cual, si abres una puerta a los atacantes en un centro concreto, puedes estar facilitando el acceso a otras entidades que estén interconectadas Si solo proteges una parte, estás dejando puertas abiertas. Una vez has cubierto la parte que tiene más riesgo, como los hospitales, no puedes olvidarte del resto porque están interconectados y utilizan elementos comunes.

¿Se deberían incluir bajo este paraguas también las farmacias?

Cualquier entidad, sobre todo si está considerada como crítica, debe implantar medidas de ciberseguridad. Las farmacias no se encuentran incluidas en el modelo, es otra casuística. Las farmacias son entidades privadas que dependen y se conectan a través del Consell de Col·legis Farmacèutics de Catalunya y hacen uso del Sistema d'Informació Farmacèutica de Recepta Electrònica (Sifare). No tienen, por tanto conexión directa individual como es el caso de las entidades proveedoras de servicios hospitalarios, primarios, sociosanitarios y salud mental del Siscat.

¿Qué porcentaje del presupuesto de Salud se debería destinar a ciberseguridad?

Debería ser superior al que es, porque la ciberseguridad acaba estando condicionada por la inversión en TIC, y la inversión en TIC ya es inferior en muchos casos a la que tendría que ser.

Aún así, la ciberseguridad está ganando importancia y el Departamento de Salud está haciendo una apuesta por ello. Dentro de sus presupuestos, ya tiene en cuenta esta parte de ciberseguridad. El modelo de ciberseguridad se ha implantado en los 68 hospitales del Siscat, se ha dotado a la red de Atención Primaria de herramientas de protección y ahora el modelo se hace extensivo a entidades sociosanitarias y de salud mental. Todo esto es gracias a que hay un canal abierto de colaboración con el Departamento de Salud y un augmento de la concienciación a nivel de ciberseguridad.
Los fondos europeos MRR que cubren la parte de Atención Primaria están dotados con casi 5,2 millones de euros, y la parte de sociosanitarios y de salud mental, a través de fondos RETECH, reciben otros 2,8 millones. Además, hay un plan plurianual de salud hasta 2027 dotado con 27 millones de euros para dar cobertura a las acciones que forman el modelo desplegado en al ámbito sanitario, lo que es una apuesta clara.

Como Agencia de Ciberseguridad de Cataluña y como país podemos estar orgullosos de la inversión que ha hecho el Departamento de Salud porque somos referentes y el trabajo que se está haciendo es un ejemplo paraotras comunidades. De todas maneras, el entorno sanitario debe mejorar y evolucionar en aspectos como la obsolescencia y contar con figuras referentes expertas en ciberseguridad en las entidades.

¿Hacen falta más profesionales especializados para evitar los ciberataques?

Sí, faltan muchos profesionales de ciberseguridad. Tenemos un déficit de 13.500 plazas por cubrir. Hay empresas que están buscando profesionales y tienen problemas para contratar. Desde la Agencia hacemos campañas para que los adolescentes se encaminen para trabajar en ciberseguridad porque es una salida profesional al alza y que las empresas la requieren. En los hospitales hacemos formación básica en ciberseguridad dirigida a todos los trabajadores de las entidades y formaciones más técnicas específicas, como por ejemplo de programación segura de aplicaciones o corrección de vulnerabilidades. Además, las entidades con el modelo desplegado disponen de figuras específicas de referencia en la Agencia que mantienen este enlace con ella y que se ocupan específicamente de la ciberseguridad.

¿Es suficiente la formación de los sanitarios en ciberseguridad?

Hacemos formación general dirigida a todos los empleados de la entidad, pero cuesta un poco más llegar al personal médico, administrativo o enfermeros/as. Son profesionales que están muy centrados en atender pacientes y el enfoque a nivel de formación es diferente, pero evidentemente también es muy necesario.

¿Hay coordinación entre la sanidad pública y la sanidad privada?

Nosotros somos administración pública y explicamos a entidades privadas qué estamos haciendo y cómo lo hacemos. Nos interesa esa alineación para hacernos fuertes ante el cibercrimen en todo el ámbito. También nos interesa que los proveedores tecnológicos y de servicios se alineen con este modelo y lo entiendan bien para que nos puedan ayudar a desplegarlo.

Cuando hay incidentes en entidades públicas, activamos al equipo de respuesta a incidentes de la Agencia para que gestione con la entidad afectada las acciones pertinentes. Cuando los incidentes se producen en entidades privadas es más complicado actuar porque no solemos tener acceso directo, pero exigimos toda la información porque tenemos el deber de proteger el servicio público.

¿Y cómo es esta relación con el resto de agencias autonómicas, estatales o europeas?

Algunas comunidades tienen Agencias propias de ciberseguridad como Cataluña, y algunas están en proceso de crearlas.
Aún así, hay diferentes foros en los que participan las comunidades en temas de ciberseguridad. Des de Cataluña por ejemplo formamos parte del grupo que lidera el Ministerio de Sanidad, como co-líderes junto con Baleares, Valencia, Andalucía y Galicia para la definición de la Estrategia de Ciberseguridad del Sistema Nacional de Salud. Esto permite estar implicado y ser conocedor de las estrategias europeas, estatales y evaluar la alineación con las estrategias autonómicas.

También estamos coordinados con la Red Nacional de SOCs, elCCN, Enisa, Incibe, etc.. Además, ante un incidente de ciberseguridad existe cooperación con los Mossos de Escuadra, como autoridad competente en la investigación de delitos.

La compartición y coordinación entre agencias a todos los niveles es vital para hacer frente a los ciberdelincuentes y avanzarnos todo lo posible a la evolución a las nuevas amenazas, nuevos grupos cibercriminales y nuevos métodos que vayan apareciendo en cualquier parte del mundo.

¿Qué influencia tiene la Agència en cada nuevo paso de digitalización en sanidad?

Estamos presentes en el proceso para analizar y levantar puntos débiles que puedan generar un riesgo. Por ejemplo, cuando salen nuevas aplicaciones revisamos que antes se hayan efectuado pruebas técnicas de ciberseguridad para que no salgan con agujeros de seguridad. Este es un trabajo continuo, recurrente, y complejo dado el alto grado de digitalización y la rápida implantación sobre todo desde la pandemia.

¿Cuáles son las principales preocupaciones de ciberseguridad en el ámbito de salud?

Nos preocupa seguir la evolución de las amenazas nuevas que van saliendo y el avance de las entidades en la implantación de las medidas necesarias para hacer frente a dichas amenazas. El uso por parte de los atacantes de la inteligencia artificial comporta ataques más sofisticados y más rápidos. Eso implica menos tiempo para poder detectar y actuar ante los ataques. Es una carrera en la que no nos podemos quedar atrás, porque si te paras, retrocedes. Si cambia el tipo de amenazas, las medidas que desplegamos en los hospitales deberán adaptarse también, pero tenemos este modelo de relación con todas ellas para hacerlo lo más rápido posible y no estar en desventaja con los cibercriminales.

Haciendo un símil, a veces actuamos como un centro de epidemiología, porque si algo ocurre en uno de los hospitales o incluso en otros sitios del mundo, podemos alertar al resto. Si los atacantes están aprovechando una determinada vulnerabilidad, pongamos por ejemplo en un software determinado de un fabricante, podremos advertir a quienes estén usando esos programas para aplicar medidas preventivas cuanto antes. Estamos pasando de una protección reactiva a una más proactiva y preventiva que nos permite avisar de situaciones de riesgo muy reales.

¿La ciberseguridad de un hospital sale reforzada después de una crisis?

Sí, pero no se refuerza solo en este centro. Cuando hay una crisis, todas las entidades que se pueden ver reflejadas suelen ver un pico de oportunidad y concienciación, y así es más fácil avanzar. Desde la Agencia actuamos ante un incidente de ciberseguridad con la voluntad de dejar a la entidad mejor de como la hemos encontrado. Se está avanzando tanto a nivel técnico como a nivel del esquema nacional de seguridad, el cual marca un camino para demostrar la madurez y confianza que debemos generar en la ciudadanía.