Seguridad en el sector salud: proteger datos clínicos bajo ENS y RGPD

Guía de ciberseguridad para hospitales y centros sanitarios: protección de datos clínicos, cumplimiento del ENS y RGPD, amenazas específicas del sector salud y buenas prácticas.

¿Por qué es crítica la ciberseguridad en el sector salud?

El sector sanitario es uno de los más atacados del mundo. Según el informe ENISA Threat Landscape for Health 2025, los hospitales europeos sufrieron un incremento del 73% en ciberataques entre 2023 y 2025. La razón es sencilla: los datos clínicos tienen un valor extraordinario en el mercado negro (entre 250 y 1.000 dólares por registro, frente a los 5-10 dólares de una tarjeta de crédito) y los hospitales suelen tener infraestructuras tecnológicas antiguas con una superficie de ataque amplia.

Pero el problema va más allá del robo de datos. Un ciberataque a un hospital puede tener consecuencias directas sobre la vida de los pacientes. El caso del Hospital Universitario de Dusseldorf en 2020, donde una paciente falleció tras ser redirigida a otro centro porque los sistemas estaban cifrados por ransomware, fue un punto de inflexión para el sector. Desde entonces, la ciberseguridad sanitaria ha dejado de ser un asunto de IT para convertirse en una cuestión de seguridad del paciente.

En España, el Servicio Nacional de Salud (SNS) atiende a 47 millones de personas a través de una red de hospitales públicos gestionados por las comunidades autónomas, más una red privada con más de 450 hospitales. Cada uno de ellos maneja datos de salud (categoría especial bajo RGPD), historias clínicas electrónicas, sistemas de imagen médica (PACS/DICOM), dispositivos médicos conectados (IoMT) y sistemas de gestión hospitalaria (HIS). La interconexión creciente entre estos sistemas multiplica los vectores de ataque.

¿Qué normativas de seguridad aplican a hospitales en España?

Los hospitales españoles están sujetos a un marco regulatorio complejo que combina legislación europea, nacional y sectorial:

RGPD (Reglamento General de Protección de Datos). Los datos de salud son “categorías especiales” bajo el artículo 9 del RGPD. Su tratamiento requiere base jurídica reforzada, evaluaciones de impacto (DPIA) obligatorias cuando se tratan a gran escala, y medidas de seguridad proporcionadas al riesgo. Las sanciones por incumplimiento alcanzan los 20 millones de euros o el 4% del volumen de negocio global.

LOPDGDD (Ley Orgánica 3/2018). Complementa el RGPD en España. Establece requisitos adicionales para el tratamiento de datos de salud, incluyendo la obligación de nombrar un Delegado de Protección de Datos (DPO) en centros sanitarios públicos y privados que traten datos a gran escala.

ENS (Esquema Nacional de Seguridad, RD 311/2022). Obligatorio para todos los hospitales públicos y para los privados que prestan servicios al SNS. Los sistemas que manejan historias clínicas electrónicas se clasifican típicamente como categoría ALTA, lo que exige el cumplimiento de los 73 controles del ENS en su nivel máximo.

NIS2 (Directiva UE 2022/2555). Clasifica al sector sanitario como “esencial”. Los hospitales con más de 250 empleados o más de 50 millones de euros de facturación son entidades esenciales sujetas a: gestión de riesgos, notificación de incidentes (24h alerta temprana, 72h notificación completa), seguridad en la cadena de suministro y gobernanza de ciberseguridad a nivel de dirección.

Ley 41/2002 de autonomía del paciente. Regula la historia clínica y establece requisitos de confidencialidad, conservación (mínimo 5 años) y acceso que tienen implicaciones directas sobre la seguridad de los sistemas de información.

Normativa autonómica. Cada comunidad autónoma puede establecer requisitos adicionales a través de sus servicios de salud (SERMAS en Madrid, SAS en Andalucía, CatSalut en Cataluña, etc.).

¿Cómo proteger datos clínicos bajo RGPD?

La protección de datos clínicos bajo RGPD requiere medidas técnicas y organizativas proporcionadas al alto riesgo que implica su tratamiento:

Evaluación de impacto (DPIA). Obligatoria antes de cualquier tratamiento a gran escala de datos de salud. Debe identificar riesgos, evaluar su probabilidad e impacto, y definir medidas de mitigación. La AEPD ha publicado guías específicas para el sector sanitario.

Minimización de datos. Recoger y tratar solo los datos clínicos estrictamente necesarios para la finalidad asistencial. Evitar copias innecesarias de historias clínicas, limitar el acceso por perfil profesional y eliminar datos cuando ya no sean necesarios (respetando los periodos legales de conservación).

Cifrado. Datos en reposo: cifrado de bases de datos (AES-256), cifrado de disco en equipos portátiles y dispositivos móviles, cifrado de backups. Datos en tránsito: TLS 1.2 o superior para todas las comunicaciones, especialmente entre sistemas que transmiten datos clínicos (HIS, LIS, PACS, prescripción electrónica).

Seudonimización. Separar los datos identificativos del paciente de los datos clínicos cuando sea posible, especialmente en entornos de investigación, formación o análisis estadístico. Los datos seudonimizados siguen siendo datos personales bajo RGPD, pero reducen el riesgo en caso de brecha.

Control de accesos. Principio de mínimo privilegio: cada profesional accede solo a los datos clínicos necesarios para su función. Autenticación fuerte (MFA) para acceso a la historia clinica electrónica. Registro de accesos con trazabilidad completa (quién accedió, cuándo, a qué datos y por qué motivo).

Derechos de los pacientes. Implementar mecanismos para ejercicio de derechos: acceso a la historia clinica, rectificación de datos erróneos, supresión (con las limitaciones legales de conservación) y portabilidad.

¿Qué requisitos del ENS afectan al sector sanitario?

Los hospitales públicos españoles deben cumplir el ENS (RD 311/2022). Los sistemas de información sanitarios se clasifican típicamente en categoría ALTA por la naturaleza de los datos que manejan y la criticidad de los servicios asistenciales.

Los controles del ENS con mayor impacto en el sector sanitario:

Marco organizativo. Política de seguridad aprobada por la dirección del centro, análisis de riesgos formalizado (MAGERIT es la metodología de referencia del CCN), designación de responsables de seguridad y de información diferenciados.

Marco operacional. Planificación de la seguridad, gestión de la configuración de sistemas (especialmente crítica para dispositivos médicos conectados), gestión de cambios con evaluación de impacto, protección frente a código dañino, gestión de incidentes de seguridad y continuidad del servicio.

Medidas de protección. Control de acceso basado en roles clinicos, mecanismos de autenticación (doble factor para acceso remoto y sistemas críticos), protección de las comunicaciones (cifrado), protección de soportes de información (USBs, discos portátiles con datos clínicos), protección de aplicaciones informáticas y protección de la información (clasificación y etiquetado).

Requisitos específicos para dispositivos médicos. Los equipos de electrónica médica conectados a la red (monitores, bombas de infusión, equipos de imagen) suponen un reto particular: muchos funcionan con sistemas operativos obsoletos (Windows XP, Windows 7), no admiten agentes de seguridad y no pueden ser parcheados sin afectar a su certificación sanitaria. El ENS exige segmentar estos dispositivos en redes dedicadas con controles de acceso estrictos.

Herramientas del CCN. El CCN-CERT pone a disposición del sector sanitario herramientas gratuitas: CCN-PILAR para análisis de riesgos, CCN-CLARA para verificación de cumplimiento, CCN-INES para reporte de indicadores y las guías de la serie 800 con perfiles de cumplimiento sectoriales.

¿Cuáles son las amenazas más comunes en sanidad?

El panorama de amenazas del sector sanitario tiene características propias:

Ransomware. Es la amenaza número uno. Los hospitales son objetivos prioritarios porque la urgencia asistencial presiona para pagar el rescate. Grupos como LockBit, BlackCat (ALPHV) y Rhysida han atacado hospitales españoles y europeos. El Hospital Clinic de Barcelona (2023) sufrió un ataque de RansomHouse que exfiltró 4.5 TB de datos y paralizó parcialmente los servicios asistenciales durante semanas.

Phishing dirigido al personal sanitario. Los profesionales sanitarios son el vector de entrada más común. Correos que simulan ser del servicio de informática, del SAS o de proveedores de material sanitario consiguen credenciales que dan acceso a la red interna. La presión asistencial y la falta de formación específica en ciberseguridad multiplican la efectividad de estos ataques.

Exfiltración de datos clínicos. El robo de historias clínicas para venta en mercados de la dark web o para extorsión directa a pacientes (especialmente en datos de salud mental, VIH, adicciones o cirugías estéticas). El valor del registro clinico en el mercado negro supera con creces al de otros datos personales.

Ataques a dispositivos médicos (IoMT). Los dispositivos médicos conectados (marcapasos, bombas de insulina, equipos de imagen) con firmware vulnerable son un vector de ataque creciente. La FDA y la EMA han publicado alertas específicas. El riesgo no es solo de datos: un ataque a un dispositivo médico puede comprometer la seguridad física del paciente.

Amenaza interna. Empleados o exempleados que acceden a datos clínicos sin autorización asistencial. Los casos de personal sanitario que consulta historias clínicas de famosos, expareja o conocidos son frecuentes y sancionados por la AEPD.

Supply chain. Ataques a proveedores de software sanitario (HIS, LIS, farmacia, radiología) que se propagan a los hospitales clientes. El caso SolarWinds demostró el riesgo; el sector sanitario tiene decenas de proveedores con acceso remoto a sistemas críticos.

¿Cómo implementar un plan de seguridad en un hospital?

Un plan de seguridad para un hospital debe equilibrar la protección con la operatividad asistencial. Nunca puede una medida de seguridad poner en riesgo la atención al paciente.

Fase 1: Diagnóstico (4-6 semanas). Inventario de activos TIC (sistemas, redes, dispositivos médicos, accesos remotos de proveedores), análisis de riesgos (MAGERIT o equivalente), gap analysis contra ENS y RGPD, y evaluación de la superficie de ataque externa.

Fase 2: Gobernanza (2-4 semanas). Nombrar responsable de seguridad de la información, crear o actualizar la política de seguridad, definir el comité de seguridad (con representación de dirección médica, enfermería, IT y calidad), y establecer un presupuesto dedicado.

Fase 3: Quick wins (1-3 meses). Segmentación de red (separar redes clínicas, administrativas, IoMT e invitados), activar MFA en acceso a HIS y VPN, parchear vulnerabilidades críticas en sistemas expuestos, configurar backups inmutables (3-2-1 con copia offline), y desplegar EDR en endpoints críticos.

Fase 4: Protección en profundidad (3-6 meses). Implementar SIEM para correlación de eventos, definir y probar playbooks de respuesta a incidentes (ransomware, exfiltración, acceso no autorizado a historias clínicas), formar al personal sanitario en higiene digital, revisar contratos con proveedores TIC y establecer un programa de gestión de vulnerabilidades continuo.

Fase 5: Mejora continúa. Auditorías internas semestrales, ejercicios de crisis anuales (simulacros de ransomware con participación de dirección), revisión del análisis de riesgos al menos anualmente, y reporte de indicadores ENS vía CCN-INES.

¿Qué coste tiene un incidente de seguridad en sanidad?

El coste de un ciberincidente en sanidad es el más alto de todos los sectores. Según el informe IBM Cost of a Data Breach 2025, el coste medio de una brecha de datos en sanidad alcanza los 10.93 millones de dólares, un 53% más que el segundo sector (financiero).

Costes directos:

• Respuesta al incidente (forense, contención, erradicación): 200.000 a 1 millón de euros
• Restauración de sistemas: 500.000 a 3 millones de euros (depende de la extensión)
• Pago de rescate (si se decide pagar): la mediana en sanidad es de 1.5 millones de euros (datos Sophos State of Ransomware in Healthcare 2025)
• Notificación a afectados y regulador: 50.000 a 200.000 euros

Costes indirectos:

• Pérdida de productividad: cancelación de cirugías, desvío de urgencias, vuelta a procesos en papel. Un hospital medio pierde entre 500.000 y 2 millones de euros por semana de inactividad
• Sanciones regulatorias: multas AEPD (las sanciones a entidades sanitarias españolas oscilan entre 10.000 y 300.000 euros por infracción), requerimientos del CCN
• Daño reputacional: pérdida de confianza de pacientes, impacto mediático. Difícil de cuantificar pero duradero
• Litigación: demandas de pacientes por exposición de datos clínicos sensibles

Coste humano:

• Retraso en diagnósticos y tratamientos: un estudio de Ponemon Institute de 2024 encontró que el 56% de los hospitales que sufrieron ransomware reportaron peores resultados clinicos
• Estrés del personal: burnout del equipo de IT y de los profesionales asistenciales que trabajan sin sistemas durante la recuperación

Invertir en ciberseguridad es significativamente más barato que gestionar un incidente. Según ENISA, el coste medio de implementar un programa de seguridad básico en un hospital mediano europeo está entre 300.000 y 800.000 euros anuales, una fracción del coste de un solo incidente grave.

Artículos relacionados:

• Qué Es Esquema Nacional Seguridad Ens

Dudas habituales

¿Los hospitales privados también deben cumplir el ENS? Depende. Los hospitales privados que prestan servicios al Sistema Nacional de Salud (conciertos, colaboración público-privada) deben cumplir el ENS como proveedores de servicios a la administración pública. Los hospitales exclusivamente privados no están obligados por el ENS, pero sí por el RGPD, la LOPDGDD y NIS2 (si superan los umbrales de tamaño).

¿Qué pasa si un dispositivo médico no se puede parchear? Situación habitual con equipos de electrónica médica con firmware certificado. La estrategia es: segmentar el dispositivo en una VLAN dedicada, aplicar controles de acceso estrictos a nivel de red (firewall, NAC), monitorizar el tráfico del dispositivo con un IDS, y documentar el riesgo residual en el análisis de riesgos. El fabricante tiene la obligación de proporcionar actualizaciones de seguridad durante el ciclo de vida del producto (Reglamento MDR 2017/745).

¿Cuánto tarda un hospital en recuperarse de un ataque de ransomware? La media es de 3 a 6 semanas para recuperar la operatividad completa. Algunos sistemas secundarios pueden tardar meses. El Hospital Clinic de Barcelona tardó más de un mes en recuperar todos sus sistemas tras el ataque de marzo de 2023. La clave es tener backups inmutables probados y un plan de recuperación documentado y ensayado.

¿Es obligatorio notificar un ciberataque a la AEPD? Si la brecha afecta a datos personales y supone un riesgo para los derechos y libertades de los afectados, si. La notificación al regulador debe hacerse en un máximo de 72 horas desde que se tiene conocimiento. Si el riesgo es alto, también debe notificarse a los pacientes afectados sin dilación indebida. Adicionalmente, bajo NIS2, los incidentes significativos deben notificarse al CSIRT de referencia (CCN-CERT para sector público, INCIBE-CERT para sector privado).

¿Qué presupuesto mínimo necesita un hospital para ciberseguridad? La recomendación de ENISA y del CCN es dedicar entre el 6% y el 10% del presupuesto de IT a ciberseguridad. Para un hospital mediano español con un presupuesto de IT de 3-5 millones de euros anuales, esto supone entre 180.000 y 500.000 euros al año. La realidad es que muchos hospitales públicos españoles dedican menos del 3%, lo que explica la brecha de seguridad del sector.