Imaginá que llegás a emergencias y el hospital no puede atenderte

Son las 2 de la mañana. Una ambulancia llega al hospital con un paciente que necesita cirugía de emergencia. Pero cuando el médico intenta abrir el expediente electrónico del paciente, la pantalla muestra un mensaje en inglés: "Your files have been encrypted. Pay 5 Bitcoin to recover them." No hay acceso al historial médico, no hay resultados de laboratorio previos, no hay registros de alergias. El hospital entero está paralizado. Esto no es ficción. Pasó en Costa Rica en 2022, y sigue pasando en toda Latinoamérica.

Los ciberataques al sector salud no son solo un problema de tecnología. Son un problema de vida o muerte. Y en nuestra región, la situación es más grave de lo que la mayoría de directores de clínicas y hospitales imaginan.

Por qué los hospitales son el blanco favorito del ransomware

Pensalo así: si un hacker cifra los archivos de una tienda de ropa, el dueño se molesta pero puede esperar unos días. Si cifra los expedientes de un hospital, hay pacientes que pueden morir. Esa urgencia hace que los hospitales sean mucho más propensos a pagar el rescate, y los criminales lo saben perfectamente.

Pero la urgencia no es la única razón. Hay tres factores que convierten al sector salud en un blanco casi irresistible:

•Los datos médicos valen oro:: Un registro médico completo se vende en la dark web por entre $250 y $1,000 dólares. Eso es entre 10 y 40 veces más que un número de tarjeta de crédito. ¿Por qué? Porque un expediente médico contiene nombre, cédula, dirección, historial de enfermedades, números de seguro, y a veces datos financieros. Es un paquete completo para el robo de identidad.

•Sistemas desactualizados:: Muchos hospitales en Latinoamérica todavía operan con Windows 7 o incluso Windows XP. Equipos de resonancia magnética o ultrasonido que cuestan cientos de miles de dólares corren software que no recibe actualizaciones de seguridad desde hace años.

•Presupuesto limitado para TI:: Mientras que un banco puede destinar el 10-15% de su presupuesto a tecnología, un hospital típico en Centroamérica destina menos del 3%. La ciberseguridad compite directamente con la compra de medicamentos y equipo médico.

Lo que ya pasó en nuestra región: casos reales

No necesitamos buscar ejemplos lejos. Latinoamérica ya ha vivido ataques devastadores:

Costa Rica, 2022: El ataque a la CCSS

El grupo de ransomware Hive atacó la Caja Costarricense de Seguro Social (CCSS) en mayo de 2022. El resultado fue catastrófico: más de 1,500 servidores afectados, 30,000 citas médicas reprogramadas solo en la primera semana, y hospitales que tuvieron que volver a expedientes en papel durante semanas. Los pacientes con enfermedades crónicas no podían acceder a sus recetas. Las cirugías programadas se pospusieron. El sistema de salud público de todo un país quedó paralizado.

Brasil, 2021: Ministerio de Salud

En plena pandemia de COVID-19, hackers atacaron el Ministerio de Salud de Brasil y eliminaron los datos de vacunación de millones de personas. Los certificados de vacunación digitales dejaron de funcionar. Imaginate el caos: gente que necesitaba demostrar su estado de vacunación para trabajar o viajar, y el sistema simplemente no existía.

Argentina: Hospitales públicos

Varios hospitales públicos en Buenos Aires han sufrido ataques de ransomware que los obligaron a cancelar cirugías y derivar pacientes a otros centros. En algunos casos, los datos de pacientes fueron publicados en la dark web cuando los hospitales se negaron a pagar.

Los tipos de ataques que enfrentan las clínicas

El ransomware es el más conocido, pero no es el único peligro:

1.Ransomware que bloquea expedientes: El atacante cifra toda la base de datos de pacientes y exige un rescate. Si no pagás, perdés años de información médica.

2.Robo silencioso de datos médicos: A veces el atacante no cifra nada. Solo copia miles de expedientes y los vende. El hospital ni se entera hasta que los datos aparecen en la dark web.

3.Ataques a dispositivos médicos IoT: Monitores cardíacos, bombas de insulina, equipos de imagenología, todos conectados a la red. Muchos de estos dispositivos no se pueden actualizar y son una puerta abierta para los atacantes.

4.Ataques a la cadena de suministro: El software del laboratorio, el sistema de facturación, la plataforma de telemedicina. Cualquier proveedor comprometido puede ser la entrada al hospital.

El impacto real en los pacientes

Detrás de cada ciberataque hay personas que sufren las consecuencias:

•Cirugías retrasadas: porque el cirujano no puede acceder al historial del paciente

•Ambulancias desviadas: a hospitales más lejanos porque el centro más cercano está paralizado

•Diagnósticos erróneos: porque no hay acceso a resultados previos o alergias documentadas

•Historiales médicos filtrados: que exponen condiciones como VIH, enfermedades mentales o adicciones, causando estigma social y laboral

Un estudio de la Universidad de Minnesota encontró que los ataques de ransomware a hospitales se asocian con un aumento del 20-35% en la mortalidad intrahospitalaria durante las semanas del incidente.

Obligaciones legales que muchos ignoran

En Costa Rica, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (Ley 8968) y la PRODHAB establecen que las organizaciones que manejan datos sensibles, como los médicos, tienen la obligación legal de protegerlos. Un ataque que exponga datos de pacientes puede resultar en sanciones, demandas y una crisis de reputación que puede cerrar una clínica.

No se trata solo de cumplir la ley. Se trata de la confianza que los pacientes depositan en su centro médico cada vez que comparten su información más íntima.

Qué pueden hacer las clínicas y hospitales hoy

No se necesita un presupuesto millonario para mejorar drásticamente la seguridad. Estas son medidas prácticas y alcanzables:

•Segmentar la red:: Los dispositivos médicos (monitores, equipos de imagenología) deben estar en una red separada del correo electrónico y la navegación web. Si un empleado hace clic en un enlace malicioso, el ransomware no debería poder llegar al equipo de resonancia magnética.

•Backups desconectados y probados:: Mantener copias de respaldo que no estén conectadas permanentemente a la red. Y probar la restauración al menos una vez al trimestre. El backup que nunca se prueba es el backup que no funciona.

•Capacitar al personal:: El 90% de los ataques comienzan con un correo electrónico. Entrenar a médicos, enfermeras y personal administrativo para reconocer correos sospechosos es la inversión con mayor retorno.

•Actualizar lo que se pueda:: No todo se puede actualizar, pero sí se puede aislar lo que no se actualiza. Un equipo con Windows XP debería estar en su propia red, sin acceso a internet.

•Plan de respuesta a incidentes:: Tener un plan escrito y ensayado. ¿Quién toma las decisiones? ¿Cómo se atiende a los pacientes sin sistemas? ¿A quién se llama primero? Las primeras horas después de un ataque son las más críticas.

•Monitorear la actividad de la red:: Implementar herramientas que detecten comportamiento anómalo, como un equipo que empieza a cifrar archivos masivamente a las 3 de la mañana.

Proteger pacientes es proteger vidas

La ciberseguridad en el sector salud no es un lujo ni un tema solo para técnicos. Es parte fundamental de la calidad de atención y la seguridad del paciente. Cada clínica y hospital en Centroamérica tiene la responsabilidad de tomar medidas concretas hoy, antes de que un ataque convierta una emergencia médica en una tragedia.

En CiberShield ayudamos a clínicas y organizaciones de salud a evaluar sus vulnerabilidades, implementar protecciones efectivas y prepararse para responder ante incidentes. Si dirigís o administrás un centro de salud, hablemos sobre cómo proteger a tus pacientes y tu organización.

Ciberataques a clínicas y hospitales en Latinoamérica: Una crisis silenciosa