La ciberseguridad en centros sociosanitarios como residencias de mayores, servicios de teleasistencia y ayuda a domicilio es un tema crรญtico debido a la naturaleza sensible de los datos que manejan. La digitalizaciรณn, aunque esencial para modernizar dichos servicios, tambiรฉn expone a las personas mayores a riesgos tecnolรณgicos. Y es que los datos personales se han convertido en un recurso clave, pero tambiรฉn en una fuente de riesgo, especialmente para este colectivo. Analizamos hasta dรณnde llega su vulnerabilidad, las mayores amenazas cibernรฉticas que sufre, sus efectos, asรญ como las mejores estrategias para hacer frente a los ciberataques. Y lo hacemos con especialistas en la materia de Vitalia, Macrosad e ILUNION VidaSรฉnior, junto con el experto en ciberseguridad, Carlos Seisdedos.
En tรฉrminos generales de salud, y como asegura el responsable del Sector Estratรฉgico Salud del Instituto Nacional de Ciberseguridad (INCIBE), Juan Dรญez, โel estudio de 2024 de la Agencia Europea de Ciberseguridad (ENISA), sitรบa al sector salud con un 4% de todos los ataques registrados en sectores estratรฉgicos a nivel europeo (frente al 8% que mostraba el mismo informe del aรฑo anterior), siendo los de tipo ransomware (22%) y filtraciones de datos (13%) los mรกs frecuentes. En el caso del ransomware, los ciberdelincuentes toman el control de los activos de su vรญctima y exigen un rescate a cambio de la devoluciรณn de la disponibilidad del activo o a cambio de no exponer pรบblicamente los datos incautados.
A nivel mundial, al 27% de las entidades que han sido vรญctimas de este tipo de ataque les ha supuesto pรฉrdidas de casi 900.000 euros para la recuperaciรณn de la normalidad y en un 78% reconocen el pago de rescates superiores a los 440.000 euros segรบn el estudio de Claroty, empresa lรญder en ciberseguridad para entornos industriales, sanitarios y empresarialesโ.
Por su parte, Carlos Seisdedos, investigador y analista de inteligencia en seguridad internacional y ciberseguridad y CEO/fundador de Magneto INTelligence, seรฑala varios factores que aumentan la vulnerabilidad del sector salud. โEntre ellos, destaca el gran volumen de datos sensibles que maneja y la gran dependencia tecnolรณgica del sector, lo que incrementa los riesgos, ya que muchos centros operan con sistemas informรกticos obsoletos que facilitan los ataques de los cibercriminales. Si a estos dos factores aรฑadimos la proliferaciรณn de dispositivos mรฉdicos conectados (IoMT) nos encontramos que la superficie de ataque se amplรญa significativamente y se ve agravada por la limitada capacidad presupuestaria de muchas instituciones para invertir en ciberseguridad y modernizar sus infraestructurasโ.
En este contexto, el sector sociosanitario, en particular, se enfrenta tambiรฉn a un reto cada vez mรกs necesario, garantizar la seguridad de la informaciรณn. Este tipo de organizaciones maneja datos extremadamente sensibles, no solo personales sino tambiรฉn mรฉdicos, cuya confidencialidad y disponibilidad son esenciales, tanto para proteger la privacidad de los pacientes, como para asegurar el buen funcionamiento de sus servicios.
Segรบn el informe ยซLos derechos personalรญsimos y la privacidad de las personas mayoresยป, elaborado por la Fundaciรณn HelpAge International Espaรฑa, las personas mayores son especialmente vulnerables a las violaciones de privacidad y los ciberataques, lo que pone en riesgo su dignidad y autonomรญa. El documento enfatiza la necesidad de un enfoque basado en derechos humanos para garantizar que su privacidad y seguridad sean protegidas en todos los procesos de atenciรณn y cuidado. Esto incluye medidas como la formaciรณn de profesionales en ciberseguridad, el diseรฑo de sistemas adaptados a las necesidades de las personas mayores y la participaciรณn activa de estas en decisiones relacionadas con el tratamiento de su informaciรณn.
Las mayores amenazasโฆ
En el Grupo Vitalia son conscientes โde que los centros de personas mayores son objetivos cada vez mรกs atractivos para los ciberdelincuentesโ. Entre las principales amenazas cibernรฉticas a las que se enfrentan destacan el ransomware, un tipo de ataque que cifra los datos con el propรณsito de extorsionar a la organizaciรณn, lo que puede interrumpir servicios esenciales y poner en riesgo la privacidad de los residentes. Tambiรฉn seรฑalan al phishing, una tรฉcnica de suplantaciรณn de identidad utilizada para obtener informaciรณn personal y financiera a travรฉs de correos electrรณnicos, mensajes o llamadas fraudulentas.
Asimismo, para Vitalia la filtraciรณn de datos representa un riesgo considerable, ya que el robo de informaciรณn sensible, como registros de salud o datos mรฉdicos, puede facilitar la comisiรณn de fraudes o la venta de dicha informaciรณn en el mercado negro. Por รบltimo, los errores humanos constituyen un factor de vulnerabilidad importante, ya que โacciones involuntarias de los empleados, como abrir archivos adjuntos maliciosos o compartir contraseรฑas, pueden comprometer la seguridad de los sistemasโ.
Las personas mayores son especialmente vulnerables a las violaciones de privacidad y los ciberataques, lo que pone en riesgo su dignidad y autonomรญa
Del mismo modo, Elena Sรกnchez, directora del รกrea tecnolรณgica de Macrosad constata que tambiรฉn el sector de ayuda a domicilio se caracteriza por manejar informaciรณn de alta sensibilidad, como datos personales y mรฉdicos de los usuarios, lo que lo convierte en un objetivo prioritario para los ciberdelincuentes. โEn la actualidad, las amenazas cibernรฉticas evolucionan constantemente, adaptรกndose a nuevas tecnologรญas y estrategias de defensa. Ciberataques por phishing, ransomware o tรฉcnicas de ingenierรญa social son cada vez mรกs frecuentes, lo que nos exige a las empresas reforzar nuestras medidas de seguridad y mantenerlas actualizadasโ.
En el รกmbito de la teleasistencia, Daniel Pรฉrez Fernรกndez, director de Sistemas IT en ILUNION VidaSรฉnior, aรฑade que โactualmente existe un gran abanico de amenazas, pero las principales son las que van orientadas hacia los endpoint y los usuarios, por eso es primordial una buena concienciaciรณn en ciberseguridad de toda la plantilla con planes de formaciรณn continuos. Pero esto no quita que los ataques puedan llegar a otros puntos de la infraestructura, podemos decir que cada vez nos encontramos intentos de ataque mรกs imaginativos por lo que siempre hay que intentar ir un paso por delante de los ciberdelincuentesโ.
โฆ y sus efectos
Los expertos consultados ofrecen perspectivas complementarias acerca de las consecuencias que los ciberataques ocasionan. Para Vitalia, โpueden tener consecuencias devastadoras para la privacidad de los usuariosโ, especialmente cuando se filtran datos mรฉdicos y personales. Esto puede dar lugar al robo de identidad, ya que los ciberdelincuentes pueden utilizar la informaciรณn sustraรญda para solicitar prรฉstamos, abrir cuentas bancarias o cometer fraudes en nombre de los afectados. Ademรกs, la divulgaciรณn de datos sensibles sobre enfermedades o discapacidades puede generar discriminaciรณn en el acceso a servicios o seguros. Por otro lado, โun incidente de seguridad puede erosionar la confianza de los usuarios y sus familias en la organizaciรณnโ.
En la misma lรญnea, la directora del รกrea tecnolรณgica de Macrosad afirma que โun ciberataque puede exponer datos personales, historiales mรฉdicos, medicaciones o datos del servicio de atenciรณn domiciliaria. Esta vulneraciรณn de privacidad puede ser utilizada por los hackers para realizar acciones fraudulentas, discriminaciรณn o explotaciรณn de informaciรณn con fines ilegalesโ.
En el caso de la teleasistencia, para el director de Sistemas IT en ILUNION VidaSรฉnior, โeste punto es crรญtico, y por varias razones, la principal es el servicio. Si un ciberataque consigue una indisponibilidad de informaciรณn de nuestros usuarios podrรญa incluso peligrar su integridad fรญsica al no poder atender bien cualquier alarma que nos genere. Para esto es imprescindible, no solo proteger bien la infraestructura, sino tambiรฉn contar con un plan de continuidad completo, seguro, fiable y probado, y mantenerlo al dรญa con todos los cambios que pueda conllevar el servicioโ.
Escudo integral contra los riesgos digitales
La estrategia de ciberseguridad de Vitalia se fundamenta en diversos pilares. Uno de sus ejes clave es la evaluaciรณn continua de riesgos, que permite identificar amenazas de manera proactiva y aplicar las medidas adecuadas. A esto se suma la formaciรณn del personal, ยซimpartimos formaciรณn regular a todos los empleados sobre buenas prรกcticas de seguridad y concienciaciรณn sobre las รบltimas amenazasยป.
En cuanto a la tecnologรญa de seguridad, el Grupo emplea herramientas como firewalls, antivirus, sistemas de detecciรณn de intrusiones y encriptaciรณn de datos. Ademรกs, destacan que ยซtodos los dispositivos informรกticos estรกn actualizados con las รบltimas versiones de los programas y parches de seguridad, y cuentan con sistemas que impiden la instalaciรณn de software no seguro, incluso sin el conocimiento del usuarioยป.
Vitalia tambiรฉn dispone de planes de respuesta a incidentes para actuar con rapidez ante cualquier brecha de seguridad, asรญ como un sistema de avisos preventivos a los empleados sobre campaรฑas de phishing o mensajes maliciosos. Otro punto crucial es la protecciรณn de conexiones no autorizadas, especialmente en redes de centros y servicios centrales. ยซLa intrusiรณn de dispositivos no autorizados puede comprometer la integridad de los datos y abrir puertas a ataques mรกs sofisticadosยป, advierten.
Finalmente, la compaรฑรญa hace hincapiรฉ en la definiciรณn de accesos y el anรกlisis de registros como medidas esenciales para prevenir intrusiones y rastrear accesos indebidos. ยซEl control de accesos impide que personas no autorizadas accedan a informaciรณn confidencial y reduce el riesgo de pรฉrdida de datos o daรฑo a la reputaciรณnยป. Asimismo, el anรกlisis de registros permite determinar quiรฉn accediรณ a quรฉ informaciรณn y en quรฉ momento, facilitando la detecciรณn de posibles filtraciones.
La concienciaciรณn y formaciรณn de los empleados es crucial para prevenir los ciberataques
Desde Macrosad basan su estrategia de ciberseguridad en un marco regulador sรณlido que integra el Reglamento General de Protecciรณn de Datos (RGPD), el Esquema Nacional de Seguridad (ENS) y su propio sistema de gestiรณn integral conforme a certificaciones como ISO 9001, 14001, 45001, UNE 158101 y UNE 158301.
Tal y como explica su directora del รกrea tecnolรณgica, ยซcomo principales medidas consideramos necesario establecer una adecuada gestiรณn de riesgos y respuestas ante incidentes, asรญ como implementar las medidas tecnolรณgicas (cifrado de datos, autentificaciรณn multifactorialโฆ), de seguridad de la red (firewall, VPN, monitorizaciรณnโฆ) y fรญsicas (control de accesos, protecciรณn contra desastresโฆ) necesarias.
En el caso de la teleasistencia, el director de Sistemas IT en ILUNION VidaSรฉnior afirma que โno existe un sistema 100% seguro y, en este caso, hay que intentar dar una soluciรณn lo mรกs global posible que para nosotros implica tres apartados fundamentales: la infraestructura, los endpoints y los usuarios, ademรกs de contar con un plan de continuidad solvente. Para cada uno de los puntos existen en el mercado varias soluciones que son vรกlidas y eficaces. Disponer de, al menos, una capa de firewall es imprescindible, un sistema de antivirus y EDR es crรญtico y contar con un buen servicio de SIEM + NOC y SOC ayuda mucho a detectar y contener incidentesโ.
Formar y concienciar, la mejor defensa
En opiniรณn de todos los expertos consultados, la concienciaciรณn y formaciรณn de los empleados es crucial para prevenir los ciberataques. Asรญ lo constata Carlos Seisdedos al asegurar que invertir en programas de formaciรณn diseรฑados especรญficamente para el personal sanitario es esencial. Entre las prรกcticas mรกs efectivas destaca las simulaciones de phishing, que recrean situaciones reales de correos electrรณnicos maliciosos para enseรฑar a los empleados a identificarlos y evitarlos.
Para Seisdedos, โel objetivo final es crear una cultura organizacional centrada en la ciberseguridad, donde todos los empleados, independientemente de su funciรณn, comprendan su papel en la protecciรณn de los datos y sistemas de la instituciรณn. Cuando la ciberseguridad se percibe como una prioridad compartida se reduce significativamente el riesgo de errores humanos y se fortalece la confianza en las operaciones del sector sociosanitarioโ.
En este sentido, desde Vitalia invierten en programas de formaciรณn para sus empleados y promueven buenas prรกcticas entre los usuarios de sus centros. Por ejemplo, talleres de seguridad online para enseรฑar a los usuarios a identificar y evitar las estafas en lรญnea o campaรฑas de sensibilizaciรณn sobre la importancia de proteger sus datos personales y dispositivos.
Por su parte, la directora del รกrea tecnolรณgica de Macrosad expone que โun adecuado programa de formaciรณn y concienciaciรณn es imprescindible para garantizar la resiliencia de los sistemas de informaciรณn en nuestras organizaciones. En este sentido, puede trabajarse con los profesionales de ayuda a domicilio en formaciรณn continua para identificar amenazas, establecer protocolos y procedimientos ante incidentes, campaรฑas de concienciaciรณn de buenas prรกcticas digitales y simulaciones prรกcticas de incidentes. Igualmente, es importante que los empleados conozcan y acepten las polรญticas de seguridad de la informaciรณn implementadas en cada organizaciรณn, dado que las medidas afectan a todos los niveles organizativosโ.
En la misma lรญnea, y en el marco de la teleasistencia, Daniel Pรฉrez Fernรกndez insiste en que โuno de los eslabones mรกs dรฉbiles de la cadena de protecciรณn es el error humano, y mรกs en nuestro sector, cuya funciรณn principal es asistencial y la tecnologรญa no es el core para los trabajadores. En este punto, una formaciรณn continua con recordatorios y supervisiรณn de los usuarios es el camino a seguir, y siempre con un acompaรฑamiento desde el รกrea de ITโ.
ยฟCรณmo evolucionarรกn las ciberamenazas?
En cuanto a la futura evoluciรณn de las amenazas cibernรฉticas en los prรณximos aรฑos, para Carlos Seisdedos โel sector sociosanitario enfrentarรก amenazas cibernรฉticas cada vez mรกs sofisticadas, impulsadas por la adopciรณn de nuevas tecnologรญas y el interรฉs creciente de los ciberdelincuentes en los datos y sistemas crรญticosโ. Entre las tendencias mรกs preocupantes, el experto seรฑala el uso de la IA por parte de los atacantes, el compromiso de las cadenas de suministro, ya que โatacar a un proveedor puede abrir la puerta a vulnerabilidades que afecten a mรบltiples organizaciones del sectorโ, el crecimiento de la telemedicina y el uso de dispositivos wearables y la desinformaciรณn y manipulaciรณn de datos mรฉdicos.
Las empresas consultadas apuntan tambiรฉn a la irrupciรณn de la IA para identificar y combatir amenazas. En concreto, para Vitalia, โla protecciรณn de datos en el sector de los cuidados evolucionarรก hacia una mayor personalizaciรณn y adaptaciรณn a las necesidades especรญficas de cada organizaciรณn. El uso de tecnologรญas como la IA y el aprendizaje automรกtico se volverรก cada vez mรกs crucial para detectar y prevenir amenazas de manera proactivaโ.
Como concluye Carlos Seisdedos, โpara enfrentar este panorama, el sector sociosanitario debe evolucionar junto con las amenazas. Esto incluye inversiones en tecnologรญas avanzadas como la IA para la detecciรณn de anomalรญas, la implementaciรณn de sistemas de seguridad integrales y la creaciรณn de una cultura de seguridad que involucre a todo el personalโ.
Protegiendo datos, salvando vidas
ยซEl sector sociosanitario comparte ciertas estrategias con otros sectores crรญticos, pero tambiรฉn enfrenta retos รบnicos debido a la naturaleza altamente sensible de los datos que maneja y el impacto en la salud de los pacientes en caso de un ciberataqueยป, explica Carlos Seisdedos. La gestiรณn de dispositivos mรฉdicos conectados (IoMT) y la interoperabilidad entre sistemas son algunos de ellos.
A pesar de los avances tecnolรณgicos, ยซlas nuevas herramientas como la IA ayudan en la lucha contra el cibercrimen, pero aรบn no son suficientes para predecir los ciberataquesยป, seรฑala el experto. Por ello, su propuesta es que el sector apueste por un โenfoque estratรฉgico que priorice la formaciรณn del personal, el cumplimiento de normativas especรญficas y la implementaciรณn de tecnologรญas avanzadas junto con tรฉcnicas OSINT y de HUMINTโ. Dicho enfoque resulta โclave para preservar la seguridad en un รกmbito donde proteger datos tambiรฉn significa proteger vidas, ya que, en el รกmbito sociosanitario, la ciberseguridad no depende รบnicamente de contar con sistemas tecnolรณgicos robustos; tambiรฉn requiere un compromiso colectivo de toda la organizaciรณnโ.
El objetivo final, segรบn Seisdedos, es crear โuna cultura organizacional centrada en la ciberseguridad, donde todos los empleados, independientemente de su funciรณn, comprendan su papel en la protecciรณn de los datos y sistemas de la instituciรณn. Cuando la ciberseguridad se percibe como una prioridad compartida, se reduce significativamente el riesgo de errores humanos y se fortalece la confianza en las operaciones del sector sociosanitarioโ.
Regulaciรณn, responsabilidad y prevenciรณn
El marco regulatorio juega un papel crucial en la promociรณn y garantรญa de la ciberseguridad en el รกmbito del sector sociosanitario. Carlos Seisdedos subraya que el Reglamento General de Protecciรณn de Datos (RGPD) de la Uniรณn Europea establece estrictas directrices para la protecciรณn de datos personales, incluyendo los de salud. Obliga a las organizaciones a implementar medidas tรฉcnicas y organizativas para proteger la informaciรณn de los pacientes, imponiendo multas severas en caso de incumplimiento. ยซEsto no solo refuerza la confianza de los usuarios, sino que tambiรฉn incentiva a las instituciones a priorizar la seguridad de los datos desde su diseรฑoโ, asegura.
Por otro lado, la Directiva NIS2, enfocada en la seguridad de las redes y sistemas de informaciรณn, amplรญa los requisitos para sectores esenciales como el sanitario. En este caso, Seisdedos asegura que โobliga a las organizaciones crรญticas a adoptar medidas de ciberseguridad mรกs robustas, realizar auditorรญas regulares y, algo crucial, notificar incidentes de seguridad en plazos especรญficos. Esta directiva busca no solo prevenir ataques, sino tambiรฉn mitigar su impacto a travรฉs de respuestas rรกpidas y coordinadas. Ambas normativas no solo sirven como guรญas de buenas prรกcticas, sino que tambiรฉn proporcionan una base legal sรณlida para fomentar una cultura de ciberseguridad en el sector sociosanitarioโ.
Ademรกs, โla Comisiรณn Europea acaba de presentar un plan de acciรณn para reforzar la ciberseguridad en el sector sanitario, con medidas que incluyen mejorar la prevenciรณn, detecciรณn, respuesta y disuasiรณn frente a ciberataques creando un centro paneuropeo de apoyo a la ciberseguridad, recursos de aprendizaje, un sistema de alerta temprana y un servicio de respuesta rรกpida ante incidentesโ, aรฑade el experto.
