Ciberseguridad en los centros sociosanitarios, una prioridad compartida.
La ciberseguridad en centros sociosanitarios como residencias de mayores, servicios de teleasistencia y ayuda a domicilio es un tema crítico debido a la naturaleza sensible de los datos que manejan. La digitalización, aunque esencial para modernizar dichos servicios, también expone a las personas mayores a riesgos tecnológicos. Y es que los datos personales se han convertido en un recurso clave, pero también en una fuente de riesgo, especialmente para este colectivo. Analizamos hasta dónde llega su vulnerabilidad, las mayores amenazas cibernéticas que sufre, sus efectos, así como las mejores estrategias para hacer frente a los ciberataques. Y lo hacemos con especialistas en la materia de Vitalia, Macrosad e ILUNION VidaSénior, junto con el experto en ciberseguridad, Carlos Seisdedos.
En términos generales de salud, y como asegura el responsable del Sector Estratégico Salud del Instituto Nacional de Ciberseguridad (INCIBE), Juan Díez, “el estudio de 2024 de la Agencia Europea de Ciberseguridad (ENISA), sitúa al sector salud con un 4% de todos los ataques registrados en sectores estratégicos a nivel europeo (frente al 8% que mostraba el mismo informe del año anterior), siendo los de tipo ransomware (22%) y filtraciones de datos (13%) los más frecuentes. En el caso del ransomware, los ciberdelincuentes toman el control de los activos de su víctima y exigen un rescate a cambio de la devolución de la disponibilidad del activo o a cambio de no exponer públicamente los datos incautados.
A nivel mundial, al 27% de las entidades que han sido víctimas de este tipo de ataque les ha supuesto pérdidas de casi 900.000 euros para la recuperación de la normalidad y en un 78% reconocen el pago de rescates superiores a los 440.000 euros según el estudio de Claroty, empresa líder en ciberseguridad para entornos industriales, sanitarios y empresariales”.
Por su parte, Carlos Seisdedos, investigador y analista de inteligencia en seguridad internacional y ciberseguridad y CEO/fundador de Magneto INTelligence, señala varios factores que aumentan la vulnerabilidad del sector salud. “Entre ellos, destaca el gran volumen de datos sensibles que maneja y la gran dependencia tecnológica del sector, lo que incrementa los riesgos, ya que muchos centros operan con sistemas informáticos obsoletos que facilitan los ataques de los cibercriminales. Si a estos dos factores añadimos la proliferación de dispositivos médicos conectados (IoMT) nos encontramos que la superficie de ataque se amplía significativamente y se ve agravada por la limitada capacidad presupuestaria de muchas instituciones para invertir en ciberseguridad y modernizar sus infraestructuras”.
En este contexto, el sector sociosanitario, en particular, se enfrenta también a un reto cada vez más necesario, garantizar la seguridad de la información. Este tipo de organizaciones maneja datos extremadamente sensibles, no solo personales sino también médicos, cuya confidencialidad y disponibilidad son esenciales, tanto para proteger la privacidad de los pacientes, como para asegurar el buen funcionamiento de sus servicios.
Según el informe «Los derechos personalísimos y la privacidad de las personas mayores», elaborado por la Fundación HelpAge International España, las personas mayores son especialmente vulnerables a las violaciones de privacidad y los ciberataques, lo que pone en riesgo su dignidad y autonomía. El documento enfatiza la necesidad de un enfoque basado en derechos humanos para garantizar que su privacidad y seguridad sean protegidas en todos los procesos de atención y cuidado. Esto incluye medidas como la formación de profesionales en ciberseguridad, el diseño de sistemas adaptados a las necesidades de las personas mayores y la participación activa de estas en decisiones relacionadas con el tratamiento de su información.
En el Grupo Vitalia son conscientes “de que los centros de personas mayores son objetivos cada vez más atractivos para los ciberdelincuentes”. Entre las principales amenazas cibernéticas a las que se enfrentan destacan el ransomware, un tipo de ataque que cifra los datos con el propósito de extorsionar a la organización, lo que puede interrumpir servicios esenciales y poner en riesgo la privacidad de los residentes. También señalan al phishing, una técnica de suplantación de identidad utilizada para obtener información personal y financiera a través de correos electrónicos, mensajes o llamadas fraudulentas.
Asimismo, para Vitalia la filtración de datos representa un riesgo considerable, ya que el robo de información sensible, como registros de salud o datos médicos, puede facilitar la comisión de fraudes o la venta de dicha información en el mercado negro. Por último, los errores humanos constituyen un factor de vulnerabilidad importante, ya que “acciones involuntarias de los empleados, como abrir archivos adjuntos maliciosos o compartir contraseñas, pueden comprometer la seguridad de los sistemas”.
Las personas mayores son especialmente vulnerables a las violaciones de privacidad y los ciberataques, lo que pone en riesgo su dignidad y autonomía
Del mismo modo, Elena Sánchez, directora del área tecnológica de Macrosad constata que también el sector de ayuda a domicilio se caracteriza por manejar información de alta sensibilidad, como datos personales y médicos de los usuarios, lo que lo convierte en un objetivo prioritario para los ciberdelincuentes. “En la actualidad, las amenazas cibernéticas evolucionan constantemente, adaptándose a nuevas tecnologías y estrategias de defensa. Ciberataques por phishing, ransomware o técnicas de ingeniería social son cada vez más frecuentes, lo que nos exige a las empresas reforzar nuestras medidas de seguridad y mantenerlas actualizadas”.
En el ámbito de la teleasistencia, Daniel Pérez Fernández, director de Sistemas IT en ILUNION VidaSénior, añade que “actualmente existe un gran abanico de amenazas, pero las principales son las que van orientadas hacia los endpoint y los usuarios, por eso es primordial una buena concienciación en ciberseguridad de toda la plantilla con planes de formación continuos. Pero esto no quita que los ataques puedan llegar a otros puntos de la infraestructura, podemos decir que cada vez nos encontramos intentos de ataque más imaginativos por lo que siempre hay que intentar ir un paso por delante de los ciberdelincuentes”.
Los expertos consultados ofrecen perspectivas complementarias acerca de las consecuencias que los ciberataques ocasionan. Para Vitalia, “pueden tener consecuencias devastadoras para la privacidad de los usuarios”, especialmente cuando se filtran datos médicos y personales. Esto puede dar lugar al robo de identidad, ya que los ciberdelincuentes pueden utilizar la información sustraída para solicitar préstamos, abrir cuentas bancarias o cometer fraudes en nombre de los afectados. Además, la divulgación de datos sensibles sobre enfermedades o discapacidades puede generar discriminación en el acceso a servicios o seguros. Por otro lado, “un incidente de seguridad puede erosionar la confianza de los usuarios y sus familias en la organización”.
En la misma línea, la directora del área tecnológica de Macrosad afirma que “un ciberataque puede exponer datos personales, historiales médicos, medicaciones o datos del servicio de atención domiciliaria. Esta vulneración de privacidad puede ser utilizada por los hackers para realizar acciones fraudulentas, discriminación o explotación de información con fines ilegales”.
En el caso de la teleasistencia, para el director de Sistemas IT en ILUNION VidaSénior, “este punto es crítico, y por varias razones, la principal es el servicio. Si un ciberataque consigue una indisponibilidad de información de nuestros usuarios podría incluso peligrar su integridad física al no poder atender bien cualquier alarma que nos genere. Para esto es imprescindible, no solo proteger bien la infraestructura, sino también contar con un plan de continuidad completo, seguro, fiable y probado, y mantenerlo al día con todos los cambios que pueda conllevar el servicio”.
La estrategia de ciberseguridad de Vitalia se fundamenta en diversos pilares. Uno de sus ejes clave es la evaluación continua de riesgos, que permite identificar amenazas de manera proactiva y aplicar las medidas adecuadas. A esto se suma la formación del personal, «impartimos formación regular a todos los empleados sobre buenas prácticas de seguridad y concienciación sobre las últimas amenazas».
En cuanto a la tecnología de seguridad, el Grupo emplea herramientas como firewalls, antivirus, sistemas de detección de intrusiones y encriptación de datos. Además, destacan que «todos los dispositivos informáticos están actualizados con las últimas versiones de los programas y parches de seguridad, y cuentan con sistemas que impiden la instalación de software no seguro, incluso sin el conocimiento del usuario».
Vitalia también dispone de planes de respuesta a incidentes para actuar con rapidez ante cualquier brecha de seguridad, así como un sistema de avisos preventivos a los empleados sobre campañas de phishing o mensajes maliciosos. Otro punto crucial es la protección de conexiones no autorizadas, especialmente en redes de centros y servicios centrales. «La intrusión de dispositivos no autorizados puede comprometer la integridad de los datos y abrir puertas a ataques más sofisticados», advierten.
Finalmente, la compañía hace hincapié en la definición de accesos y el análisis de registros como medidas esenciales para prevenir intrusiones y rastrear accesos indebidos. «El control de accesos impide que personas no autorizadas accedan a información confidencial y reduce el riesgo de pérdida de datos o daño a la reputación». Asimismo, el análisis de registros permite determinar quién accedió a qué información y en qué momento, facilitando la detección de posibles filtraciones.
La concienciación y formación de los empleados es crucial para prevenir los ciberataques
Desde Macrosad basan su estrategia de ciberseguridad en un marco regulador sólido que integra el Reglamento General de Protección de Datos (RGPD), el Esquema Nacional de Seguridad (ENS) y su propio sistema de gestión integral conforme a certificaciones como ISO 9001, 14001, 45001, UNE 158101 y UNE 158301.
Tal y como explica su directora del área tecnológica, «como principales medidas consideramos necesario establecer una adecuada gestión de riesgos y respuestas ante incidentes, así como implementar las medidas tecnológicas (cifrado de datos, autentificación multifactorial…), de seguridad de la red (firewall, VPN, monitorización…) y físicas (control de accesos, protección contra desastres…) necesarias.
En el caso de la teleasistencia, el director de Sistemas IT en ILUNION VidaSénior afirma que “no existe un sistema 100% seguro y, en este caso, hay que intentar dar una solución lo más global posible que para nosotros implica tres apartados fundamentales: la infraestructura, los endpoints y los usuarios, además de contar con un plan de continuidad solvente. Para cada uno de los puntos existen en el mercado varias soluciones que son válidas y eficaces. Disponer de, al menos, una capa de firewall es imprescindible, un sistema de antivirus y EDR es crítico y contar con un buen servicio de SIEM + NOC y SOC ayuda mucho a detectar y contener incidentes”.
En opinión de todos los expertos consultados, la concienciación y formación de los empleados es crucial para prevenir los ciberataques. Así lo constata Carlos Seisdedos al asegurar que invertir en programas de formación diseñados específicamente para el personal sanitario es esencial. Entre las prácticas más efectivas destaca las simulaciones de phishing, que recrean situaciones reales de correos electrónicos maliciosos para enseñar a los empleados a identificarlos y evitarlos.
Para Seisdedos, “el objetivo final es crear una cultura organizacional centrada en la ciberseguridad, donde todos los empleados, independientemente de su función, comprendan su papel en la protección de los datos y sistemas de la institución. Cuando la ciberseguridad se percibe como una prioridad compartida se reduce significativamente el riesgo de errores humanos y se fortalece la confianza en las operaciones del sector sociosanitario”.
En este sentido, desde Vitalia invierten en programas de formación para sus empleados y promueven buenas prácticas entre los usuarios de sus centros. Por ejemplo, talleres de seguridad online para enseñar a los usuarios a identificar y evitar las estafas en línea o campañas de sensibilización sobre la importancia de proteger sus datos personales y dispositivos.
Por su parte, la directora del área tecnológica de Macrosad expone que “un adecuado programa de formación y concienciación es imprescindible para garantizar la resiliencia de los sistemas de información en nuestras organizaciones. En este sentido, puede trabajarse con los profesionales de ayuda a domicilio en formación continua para identificar amenazas, establecer protocolos y procedimientos ante incidentes, campañas de concienciación de buenas prácticas digitales y simulaciones prácticas de incidentes. Igualmente, es importante que los empleados conozcan y acepten las políticas de seguridad de la información implementadas en cada organización, dado que las medidas afectan a todos los niveles organizativos”.
En la misma línea, y en el marco de la teleasistencia, Daniel Pérez Fernández insiste en que “uno de los eslabones más débiles de la cadena de protección es el error humano, y más en nuestro sector, cuya función principal es asistencial y la tecnología no es el core para los trabajadores. En este punto, una formación continua con recordatorios y supervisión de los usuarios es el camino a seguir, y siempre con un acompañamiento desde el área de IT”.
En cuanto a la futura evolución de las amenazas cibernéticas en los próximos años, para Carlos Seisdedos “el sector sociosanitario enfrentará amenazas cibernéticas cada vez más sofisticadas, impulsadas por la adopción de nuevas tecnologías y el interés creciente de los ciberdelincuentes en los datos y sistemas críticos”. Entre las tendencias más preocupantes, el experto señala el uso de la IA por parte de los atacantes, el compromiso de las cadenas de suministro, ya que “atacar a un proveedor puede abrir la puerta a vulnerabilidades que afecten a múltiples organizaciones del sector”, el crecimiento de la telemedicina y el uso de dispositivos wearables y la desinformación y manipulación de datos médicos.
Las empresas consultadas apuntan también a la irrupción de la IA para identificar y combatir amenazas. En concreto, para Vitalia, “la protección de datos en el sector de los cuidados evolucionará hacia una mayor personalización y adaptación a las necesidades específicas de cada organización. El uso de tecnologías como la IA y el aprendizaje automático se volverá cada vez más crucial para detectar y prevenir amenazas de manera proactiva”.
Como concluye Carlos Seisdedos, “para enfrentar este panorama, el sector sociosanitario debe evolucionar junto con las amenazas. Esto incluye inversiones en tecnologías avanzadas como la IA para la detección de anomalías, la implementación de sistemas de seguridad integrales y la creación de una cultura de seguridad que involucre a todo el personal”.
A pesar de los avances tecnológicos, «las nuevas herramientas como la IA ayudan en la lucha contra el cibercrimen, pero aún no son suficientes para predecir los ciberataques», señala el experto. Por ello, su propuesta es que el sector apueste por un “enfoque estratégico que priorice la formación del personal, el cumplimiento de normativas específicas y la implementación de tecnologías avanzadas junto con técnicas OSINT y de HUMINT”. Dicho enfoque resulta “clave para preservar la seguridad en un ámbito donde proteger datos también significa proteger vidas, ya que, en el ámbito sociosanitario, la ciberseguridad no depende únicamente de contar con sistemas tecnológicos robustos; también requiere un compromiso colectivo de toda la organización”.
El objetivo final, según Seisdedos, es crear “una cultura organizacional centrada en la ciberseguridad, donde todos los empleados, independientemente de su función, comprendan su papel en la protección de los datos y sistemas de la institución. Cuando la ciberseguridad se percibe como una prioridad compartida, se reduce significativamente el riesgo de errores humanos y se fortalece la confianza en las operaciones del sector sociosanitario”.
Por otro lado, la Directiva NIS2, enfocada en la seguridad de las redes y sistemas de información, amplía los requisitos para sectores esenciales como el sanitario. En este caso, Seisdedos asegura que “obliga a las organizaciones críticas a adoptar medidas de ciberseguridad más robustas, realizar auditorías regulares y, algo crucial, notificar incidentes de seguridad en plazos específicos. Esta directiva busca no solo prevenir ataques, sino también mitigar su impacto a través de respuestas rápidas y coordinadas. Ambas normativas no solo sirven como guías de buenas prácticas, sino que también proporcionan una base legal sólida para fomentar una cultura de ciberseguridad en el sector sociosanitario”.
Además, “la Comisión Europea acaba de presentar un plan de acción para reforzar la ciberseguridad en el sector sanitario, con medidas que incluyen mejorar la prevención, detección, respuesta y disuasión frente a ciberataques creando un centro paneuropeo de apoyo a la ciberseguridad, recursos de aprendizaje, un sistema de alerta temprana y un servicio de respuesta rápida ante incidentes”, añade el experto.
La iniciativa "Para Ti, Paliativos" denuncia las barreras que enfrentan los andaluces para acceder a…
José Luis Martínez Guijarro, vicepresidente de Castilla-La Mancha, destacó que desde 2015 se han duplicado…
La Comunidad de Madrid ha aprobado una inversión de 5,1 millones de euros destinada al…
SERMADE ha sido galardonada con el distintivo "Madrid Excelente" por su calidad en servicios odontológicos…
En un contexto destacado por el envejecimiento demográfico y las crecientes demandas de una nueva…
FAMMA-Cocemfe Madrid solicita transformar el modelo de atención residencial para personas con discapacidad, priorizando la…