Partner Login
Security Awarness background

Cómo quiere la UE reforzar la ciberseguridad en sanidad

Escrito por Sherry Jones / 09.04.2025 /
Home » Blog » Cómo quiere la UE reforzar la ciberseguridad en sanidad

La Comisión Europea se ha puesto las pilas con un tema cada vez más urgente: proteger al sector sanitario de los ciberataques. 

Con los ataques informáticos creciendo a un ritmo preocupante y afectando a profesionales de la salud, la Comisión —órgano de la UE que propone leyes y coordina políticas— ha presentado un plan de acción bastante ambicioso. El objetivo: ayudar a hospitales, clínicas y demás centros sanitarios a prevenir, detectar y reaccionar ante cualquier amenaza digital. 

Este Plan de Acción europeo incluye medidas como la creación de un Centro Paneuropeo de Apoyo a la Ciberseguridad, apoyo económico para los hospitales y estrategias de respuesta coordinada en caso de incidentes. Todo para que, si llega el momento, esté todo preparado. 

“Más vale prevenir que curar, así que hay que evitar que los ciberataques lleguen a producirse”, dijo Henna Virkkunen, vicepresidenta ejecutiva de la Comisión en temas de Soberanía Tecnológica, Seguridad y Democracia, durante la presentación del plan. “Pero si ocurren, tenemos que estar preparados para detectarlos, responder y recuperarnos cuanto antes”. 

Un problema que viene de lejos

Desde hace años, los gobiernos de medio mundo vienen avisando de lo mismo: hay que tomarse en serio la ciberamenaza que se cierne sobre los sistemas de salud. Y es que, cuando un ciberataque paraliza un hospital o una red médica, no hablamos sólo de ordenadores, hablamos de vidas humanas en juego. Además, los pacientes pueden ver cómo su información más personal acaba en manos equivocadas. 

“Estamos ante cuestiones de vida o muerte”, llegó a decir el director de la agencia de salud de la ONU, que calificó esta situación como una amenaza grave para la seguridad internacional. Lo dijo en una sesión del Consejo de Seguridad de las Naciones Unidas el pasado otoño. 

Los ciberataques en el ámbito sanitario casi se multiplicaron por cuatro en 2023 con respecto al año anterior, según datos del Repositorio Europeo de Incidentes Cibernéticos. Ese año, los países de la UE notificaron 309 incidentes graves de ciberseguridad en el sector salud, más que en cualquier otro servicio esencial. 

Y no es cosa menor: hay países hostiles que, a día de hoy, lanzan ataques todos los días contra proveedores de atención médica. Así lo contó un experto ante un subcomité del Congreso de Estados Unidos tras el ataque brutal que sufrió Change Healthcare en 2024. 

“No hay tiempo que perder”, aseguró Luigi Rebuffi, secretario general de la Organización Europea de Ciberseguridad, al respaldar el plan de acción de la UE para el ámbito sanitario. 

Ciberamenazas para el sector sanitario

Ransomware: “un quebradero de cabeza” 

El ransomware está dando auténticos dolores de cabeza al sector. Así lo advierte el propio plan: “Los ataques de ransomware pueden tener un impacto especialmente grave en la prestación de servicios sanitarios, llegando a poner en riesgo la seguridad de los pacientes.” 

Los efectos negativos de estos ataques no son pocos, incluyen:  

  • Retrasos en procedimientos médicos,  
  • Colapsos en urgencias 
  • Interrupciones que, en los peores casos, pueden llegar a ser mortales. 

Y claro, cuanto más se digitaliza la sanidad, más puertas abiertas hay para los atacantes. Hoy en día, el sector depende muchísimo de la tecnología: historiales clínicos electrónicos, consultas por videollamada, diagnósticos asistidos por inteligencia artificial… 

De media, más de tres de cada cuatro personas en la Unión Europea, ya pueden consultar su historial médico on line, según el Informe sobre el Estado de la Década Digital 2024. 

Además, en el ámbito sanitario digital hay muchas otras tecnologías en juego: 

  • Sistemas de información clínica, 
  • Herramientas para gestionar el flujo de trabajo en hospitales, 
  • Plataformas para el reembolso de tratamientos, 
  • Imágenes médicas, 
  • Dispositivos de diagnóstico, 
  • Aparatos para monitorizar a los pacientes. 

Algunas áreas como los cuidados intensivos, la radiología, la oncología o la cardiología dependen muchísimo de estos dispositivos digitales. Y claro, eso las hace especialmente vulnerables a posibles ciberataques, tal y como advierte el plan de acción europeo. También preocupa, y mucho, la seguridad de toda la cadena de suministro del sistema sanitario. 

Una amenaza que no para de crecer

La cosa se puso seria en 2023, un año que marcó un antes y un después en cuanto a filtraciones de datos en el sector salud. Según el HIPAA Journal, se reportaron 725 incidentes que dejaron al descubierto más de 133 millones de registros. Y lo peor es que en 2024 la situación no hizo más que empeorar: los ataques crecieron tanto en tamaño como en alcance. 

What the Change Healthcare Cyber Attack Means for the US Healthcare Industry

Aquí te dejo algunos de los más sonados de ese año: 

  • Ransomware a Change Healthcare. En febrero de 2024, Change Healthcare, una empresa que forma parte del gigante estadounidense UnitedHealth, fue víctima de un ataque brutal de ransomware. El resultado: historiales personales, financieros y médicos de unos 100 millones de personas comprometidos. Sí, 100 millones. Fue la mayor filtración de información médica protegida que se ha visto jamás. Además, el ataque dejó paralizado el sistema de pagos y reclamaciones médicas durante más de un mes. 
  • Filtración masiva de datos públicos nacionales (NPD). A principios de 2024, se filtraron hasta 2900 millones de registros que afectaron a 170 millones de personas. Una auténtica barbaridad. Los datos incluían nombres completos, números de la Seguridad Social, direcciones postales, correos electrónicos y teléfonos. Todo empezó en diciembre de 2023, cuando un atacante logró colarse en los sistemas de la empresa. Desde abril y hasta el verano de 2024, la información se fue publicando en la dark web. 
  • Ataque a la empresa Synnovis. El grupo ruso de ransomware Qilin atacó a esta empresa de análisis de sangre y el impacto fue brutal en los hospitales del Reino Unido. Se cancelaron más de 1000 operaciones y citas médicas, y se filtraron cerca de 400 GB de información confidencial en la dark web.  
Más información sobre las principales amenazas a la ciberseguridad en el sector sanitario

Desglose del Plan de Acción de Ciberseguridad de la UE 

La Unión Europea ha puesto en marcha un plan de acción para reforzar la ciberseguridad en el sector sanitario, y estas son algunas de las medidas más destacadas: 

  • Orientación, formación y recursos de prevención. El plan propone guías claras sobre buenas prácticas en ciberseguridad y cómo llevarlas a la práctica. También contempla unos “bonos de ciberseguridad” que servirían como apoyo económico para hospitales y proveedores médicos de tamaño pequeño y mediano. Además, se quiere impulsar la concienciación en temas de seguridad entre los profesionales sanitarios, algo que, según varios estudios, todavía anda un poco flojo. 
  • Detección e identificación de amenazas. Se plantea crear un servicio de alerta temprana a nivel europeo, que informe sobre posibles ciberamenazas. Este sistema estará a cargo del Centro de Apoyo a la Ciberseguridad y se espera que esté en marcha en 2026, pensado especialmente para hospitales y centros sanitarios. 
  • Respuesta rápida. La llamada Reserva de Ciberseguridad de la UE, que ya ofrece servicios de respuesta a incidentes mediante proveedores privados, ampliará su cobertura para incluir también a los proveedores sanitarios. 
    Los ejercicios y manuales nacionales de ciberseguridad servirían para guiar a las organizaciones sanitarias a la hora de reaccionar rápido frente a amenazas como el ransomware o los ciberataques, con el objetivo de reducir al mínimo los daños. 
    Se recomienda que los Estados miembros pidan a las entidades que notifiquen si han pagado algún rescate. Así, se puede ofrecer apoyo y facilitar el seguimiento por parte de las fuerzas de seguridad. 
  • Disuasión. Para frenar a los ciberdelincuentes, el plan de acción apuesta por utilizar el Conjunto de instrumentos de ciberdiplomacia: una respuesta conjunta de la UE basada en la cooperación internacional y en medidas diplomáticas, pensada para desalentar actividades cibernéticas maliciosas, como los ataques dirigidos a Estados. 

El Plan de Acción y la normativa actual de la UE 

Este plan no se aleja mucho de las directivas que ya están en vigor en la UE, sino que las complementa. Es un paso más para reforzar la seguridad, especialmente en el ámbito sanitario, que es uno de los más vulnerables. 

  • La sanidad ya está considerada un sector de “alta criticidad” según la Directiva NIS2 de la UE. Esto significa que cada país miembro tiene que poner en marcha su propia estrategia nacional de ciberseguridad, sí o sí. 
  • A la Directiva NIS2 se suma la nueva Ley de Ciberresiliencia, la primera en la UE que obliga a que todos los productos con componentes digitales —incluidos los dispositivos médicos para diagnóstico, tratamiento y monitorización— integren medidas de ciberseguridad desde el principio. 
  • Además, la Comisión ha lanzado un Mecanismo de Emergencia Cibernética dentro de la Ley de Cibersolidaridad, que busca reforzar la colaboración y las respuestas coordinadas entre países para hacer frente a amenazas y ataques digitales cada vez más frecuentes. 

Todo esto, junto con el plan de acción en marcha, apunta a reforzar la resiliencia y la seguridad de la infraestructura digital en el ámbito sanitario. Y más ahora, con la llegada del Espacio Europeo de Datos Sanitarios —en vigor desde el 26 de marzo— que da a los ciudadanos de la UE el control sobre sus propios datos médicos. 

¿Y todo esto qué implica para hospitales y pacientes? 

Lo que deja muy claro el plan de acción de la UE sobre ciberseguridad sanitaria es que el sector médico necesita un buen empujón para proteger sus dispositivos y datos frente a unos ciberataques que no paran de crecer y de volverse más sofisticados. Por eso, no basta con reaccionar: hay que adelantarse. Es fundamental apostar por medidas proactivas, desde la detección temprana hasta la respuesta rápida ante cualquier amenaza. 

Actuar antes de que ocurra lo peor es, sin duda, la mejor manera de proteger los datos, la salud e incluso la vida de los pacientes. No es exagerado decir: tras una brecha de seguridad, las tasas de mortalidad pueden aumentar en casi un 25%, según lo que se comentó en la audiencia del 16 de mayo sobre el ataque a Change Healthcare. 

Una de las herramientas más eficaces para combatir estos riesgos es la formación en concienciación sobre seguridad. Varios estudios coinciden en que crear una cultura de ciberseguridad dentro de los centros sanitarios es clave. Esto incluye ofrecer programas formativos sólidos a los trabajadores. 

Como señala un informe del Centro Nacional de Información Biotecnológica de EE. UU., “la formación del personal juega un papel importante en la mejora de la ciberseguridad”.  

Y no es solo una recomendación: integrar estas medidas en la orientación y capacitación de los nuevos empleados es esencial. Debería incluir desde el manejo de datos personales de salud hasta el uso seguro del correo electrónico o cómo navegar por Internet sin exponerse a riesgos. 

Dónde encontrar formación 

Eso de formar a todo el personal en ciberconciencia suena genial, pero llevarlo a la práctica… ya es otro tema. No siempre es fácil dar con los materiales adecuados, y encima, ¿cómo saber si realmente estás tocando los puntos clave para tu sector o centro? Luego viene la parte de impartir la formación y asegurarte de que todo el mundo la entienda como para aplicarla en su día a día y trabajar de forma segura. 

Ahí es donde entra en juego el Security Awareness Service de Hornetsecurity. Ayudamos a las organizaciones sanitarias de todos los tamaños y especialidades para que refuercen sus defensas frente a ciberamenazas, dándoles a sus equipos las herramientas necesarias para identificarlas y reaccionar como es debido. Nuestro programa de formación es muy completo y puede marcar la diferencia en: 

  • Proteger tu hospital frente a ataques de ransomware y phishing. 
  • Cumplir con la normativa de ciberseguridad de la UE con control. 
  • Reducir los errores humanos, que siguen siendo la causa número uno de incidentes cibernéticos. 
Security Awareness Service icon

Adelántate a las ciberamenazas en el sector sanitario con Security Awareness Service 

Cada vez son más los ciberataques dirigidos a hospitales, poniendo en juego no solo datos confidenciales de los pacientes, sino también su bienestar. Aunque el nuevo plan de acción en ciberseguridad de la UE para el sector sanitario es un paso importante, no es suficiente por sí solo. Los hospitales tienen que tomar la iniciativa y reforzar su seguridad desde dentro. 

Security Awareness Service de Hornetsecurity te lo pone fácil: una forma práctica y efectiva de formar a tu equipo, que es tu primera línea de defensa, en buenas prácticas de seguridad. Pide una demo y empieza a proteger tu organización sanitaria.

También le puede interesar