Por qué el sector salud es el blanco preferido de los ciberataques

Los hospitales, clínicas, prepagas y obras sociales manejan uno de los activos más valiosos del mercado digital: la historia clínica de las personas. Un expediente médico contiene datos que van mucho más allá del nombre y el domicilio, incluye diagnósticos, medicaciones, estudios genéticos y condiciones psiquiátricas. En el mercado ilegal, ese tipo de registro puede valer hasta diez veces más que una tarjeta de crédito robada.

No es una hipérbole. Según el informe Cost of a Data Breach 2023 de IBM, el sector salud lleva trece años consecutivos como la industria con el costo promedio más alto por brecha de datos, alcanzando los USD 10,93 millones por incidente. En Argentina, la realidad no es distinta: organismos del sistema de salud han sido víctimas de ransomware y filtraciones que afectaron tanto a pacientes como a la operatoria de sus instituciones.

Qué dice la normativa argentina sobre protección de datos en salud

La gestión de información sanitaria en el país tiene un marco normativo propio que toda organización del sector debe conocer. La Ley 25.326 de Protección de Datos Personales establece que los datos de salud son considerados sensibles y requieren un tratamiento diferenciado, con consentimiento expreso del titular y medidas de seguridad reforzadas.

A esto se suma la Ley 27.553 de Recetas Electrónicas y Digitales, que habilita la prescripción y dispensación digital de medicamentos, generando flujos de datos clínicos que circulan entre prestadores, farmacias y obras sociales. Más recientemente, la Resolución 645/2025 del Ministerio de Salud avanzó en los estándares para la interoperabilidad de la historia clínica electrónica, lo que amplía el perímetro digital que las organizaciones deben proteger.

Incumplir estas normativas no solo expone a una organización a sanciones de la Agencia de Acceso a la Información Pública (AAIP), sino también a demandas civiles y un daño reputacional difícil de revertir.

Las principales amenazas que enfrentan las organizaciones de salud hoy

Ransomware: cuando el sistema se paraliza

El ransomware es el tipo de ataque que más creció en el sector. El mecanismo es conocido: un código malicioso cifra los archivos del sistema y los atacantes exigen un rescate económico para liberar la información. Para una guardia médica o un centro de diagnóstico, una hora sin acceso al historial del paciente puede tener consecuencias clínicas reales.

Lo que muchos gestores ignoran es que pagar el rescate no garantiza la recuperación de los datos ni evita que la información sea vendida o publicada. La única defensa real es la prevención.

Phishing dirigido al personal de salud

Los ataques de phishing en el sector salud son cada vez más sofisticados. Un correo que simula ser una orden de medicación, una alerta del sistema de turnos o una comunicación de la AFIP puede ser la puerta de entrada para comprometer credenciales. El personal administrativo y médico, con alta carga de trabajo y bajo entrenamiento en seguridad informática, representa uno de los puntos de vulnerabilidad más críticos.

Accesos no autorizados internos

No todos los riesgos vienen de afuera. El acceso indebido de empleados a registros de pacientes que no están bajo su responsabilidad es una violación frecuente y, en muchos casos, difícil de detectar sin sistemas de auditoría. Esto puede ocurrir por curiosidad, por presión externa o por complicidad con terceros interesados en esa información.

Qué medidas concretas puede tomar tu organización

La ciberseguridad en salud no es un problema exclusivo del área de IT: es una responsabilidad organizacional que involucra desde la dirección hasta el personal de mostrador. Dicho esto, hay puntos de partida concretos que marcan una diferencia real.

El primer paso es implementar una política de acceso basada en roles, donde cada usuario solo tenga acceso a la información que necesita para cumplir su función. Esto reduce drásticamente el radio de daño de cualquier incidente, sea interno o externo.

El segundo es garantizar copias de seguridad frecuentes y aisladas de los sistemas críticos. Los backups deben estar en entornos separados de la red principal y ser probados regularmente para confirmar que la restauración funciona.

El tercero, y muchas veces el más postergado, es la capacitación continua del personal. Un equipo que reconoce un correo sospechoso, que no reutiliza contraseñas y que sabe a quién reportar una irregularidad es, en la práctica, la primera línea de defensa.

Finalmente, toda organización que maneje datos sensibles debería contar con un plan de respuesta a incidentes documentado y actualizado. Saber qué hacer en las primeras horas después de una brecha puede ser la diferencia entre contener el daño o amplificarlo.

El costo de no actuar es mayor que el de invertir en protección

Muchos tomadores de decisión en el sector salud siguen percibiendo la ciberseguridad como un gasto de IT antes que como una inversión estratégica. Esa percepción es el riesgo más silencioso de todos.

Una brecha de datos en una prepaga o una obra social no solo genera multas y costos de remediación técnica: daña la relación de confianza con los afiliados, expone a la organización a litigios y puede paralizar procesos críticos por días o semanas. En un sector donde la continuidad operativa tiene impacto directo en la salud de las personas, ese costo es inaceptable.

Proteger los datos clínicos no es una opción: es parte del compromiso asistencial.