En el despacho de sistemas de una clínica médica privada sevillana, tres técnicos revisan en silencio un tablero lleno de alertas. Cada luz parpadeante representa un intento de acceso no autorizado, una brecha potencial en la red sanitaria.
En un post-it que pende de la esquina de una pantalla, en letras mayúsculas, se lee el rojo advertencia de un recordatorio importante: contratar un gestor de contraseñas para empresas. Podría parecer un detalle nimio porque hablamos de un lugar donde se salvan vidas, pero precisamente para poder seguir haciéndolo sin comprometer la privacidad ni la intimidad de los pacientes, es necesario contar con todas las medidas posibles para prevenir errores humanos y ataques informáticos.
Y no es una exageración: al fin y al cabo, el Instituto Nacional de Ciberseguridad calcula que en 2024 se registraron más de 70.000 incidentes en España. No todos fueron noticia, pero sí saltó a los titulares un caso que afectó al Servicio Andaluz de Salud. Y, desde entonces, clínicas privadas y hospitales públicos trabajan a destajo para proteger los datos e infraestructuras informáticas de sus pacientes.
Cuando el ataque no se ve venir
El pasado julio, se detectó en los hospitales universitarios Clínico San Cecilio y Virgen de las Nieves, así como en el Área de Gestión Sanitaria Sur de Granada y Distrito Sanitario Granada-Metropolitano, un incidente de seguridad que afectó a las páginas web de dichos centros.
El incidente se detectó con el envío de un correo en el que se intentó extorsionar a dichos hospitales. La respuesta fue rápida, aislando a los servidores afectados y deteniendo temporalmente los servicios online provinciales, y se empezó una investigación en la que se descubrieron los datos filtrados de 50.000 empleados y exempleados del SAS.
Aquel suceso marcó un antes y un después, y en los despachos de dirección se empezó a hablar de la ciberseguridad más en serio que nunca: se constató que hacen falta profesionales cualificados, medios técnicos y, sobre todo, mucha formación.
El factor humano, el eslabón más débil
La pandemia aceleró una transformación inevitable. La telemedicina, el acceso remoto y las plataformas de gestión sanitaria multiplicaron los puntos de entrada a los sistemas. Lo que antes estaba en un servidor físico hoy viaja entre la nube y los dispositivos personales de los profesionales.
La comodidad trajo eficiencia, pero también riesgo: de repente, los hospitales se convirtieron en redes vivas, con miles de terminales conectados en los que una sola fisura puede contagiar a todos los demás. Por eso la seguridad digital se ha vuelto tan cotidiana como la limpieza o la esterilización en las clínicas y hospitales, y cada vez más centros incorporan protocolos de respuesta rápida y, sobre todo, programas de formación.
Porque cualquier experto en ciberseguridad sabe que las máquinas fallan, sí, pero las personas fallan más. El 90 % de los ataques que sufren las grandes corporaciones comienza con un gesto cotidiano: un clic en un correo malicioso, el una de una contraseña inseguria y repetida hasta la saciedad, o un ordenador sin actualizar.
En un entorno sanitario, ese pequeño error puede convertirse en un auténtico desastre; así que, al igual que ocurre con la higiene, para evitar problemas es necesario aprender unos hábitos básicos para mejorar la seguridad (como no apuntar las contraseñas en lugares de fácil acceso o cerrar siempre la sesión en el ordenador al apagarlo) y utilizar las herramientas adecuadas.
La “salud” digital como línea de vida
Entre esas herramientas que pueden ayudar a mejorar la seguridad digital en el entorno de trabajo se encuentran los gestores de contraseñas, que guardan y organizan de manera segura todas las claves que utilizamos a diario para acceder a distintos sistemas y plataformas, incorporando también funciones avanzadas que permiten la colaboración en equipo, la administración de accesos y el cumplimiento de normativas internas.
Proton AG, compañía suiza que nació con la vocación de blindar la privacidad y que hoy ofrece soluciones específicas para instituciones que manejan información sensible, entre las que se incluyen los centros sanitarios, ha llevado esa idea un paso más allá. Su servicio Proton Pass, un sistema que mejora la seguridad empresarial facilita la creación y el uso de contraseñas únicas y la combina con autenticación en dos pasos. Todo el contenido —claves, notas, datos confidenciales— se cifra de extremo a extremo, de modo que permanece inaccesible incluso si se produce una brecha. Además, los administradores pueden supervisar y gestionar a los usuarios sin invadir su privacidad, con una visibilidad real del estado de seguridad de la organización.
Los pacientes rara vez se paran a pensar que sus datos médicos viajan entre servidores, pero confían en que estarán a salvo. Esa confianza es tan delicada como el sistema que la sostiene. Perderla no solo compromete la reputación de una institución; debilita el vínculo entre médico y paciente. Si se caen los sistemas por culpa de un ataque, se pierde la posibilidad de brindar atención sanitaria. Y no hay tecnología que sustituya eso. Por tanto, el futuro de la sanidad no pasa solo por los avances médicos: también hay que tener sino la capacidad de protegerlos, de garantizar que cada dato, cada diagnóstico y cada paciente sigan intactos frente a las amenazas del ciberespacio.
Recordamos que SALUD A DIARIO es un medio de comunicación que difunde información de carácter general relacionada con distintos ámbitos sociosanitarios, por lo que NO RESPONDEMOS a consultas concretas sobre casos médicos o asistenciales particulares. Las noticias que publicamos no sustituyen a la información, el diagnóstico y/o tratamiento o a las recomendaciones QUE DEBE FACILITAR UN PROFESIONAL SANITARIO ante una situación asistencial determinada.
SALUD A DIARIO se reserva el derecho de no publicar o de suprimir todos aquellos comentarios contrarios a las leyes españolas o que resulten injuriantes, así como los que vulneren el respeto a la dignidad de la persona o sean discriminatorios. No se publicarán datos de contacto privados ni serán aprobados comentarios que contengan 'spam', mensajes publicitarios o enlaces incluidos por el autor con intención comercial.
En cualquier caso, SALUD A DIARIO no se hace responsable de las opiniones vertidas por los usuarios a través de los canales de participación establecidos, y se reserva el derecho de eliminar sin previo aviso cualquier contenido generado en los espacios de participación que considere fuera de tema o inapropiados para su publicación.
* Campos obligatorios