NAKIVO > Blog > Multiplatform

El ransomware en el sector sanitario: comprender la creciente amenaza global para la ciberseguridad

Publicado: febrero 16, 2026

Escrito por: Equipo NAKIVO

El ransomware es un software malicioso que infecta un ordenador y destruye datos utilizando algoritmos de cifrado complejos. Como resultado, los datos cifrados se pierden y los atacantes exigen un rescate para devolverlos, pero sin ofrecer garantías.

Los ciberdelincuentes pueden atacar a diversas organizaciones, y el sector sanitario no es una excepción. Esta entrada del blog trata sobre los ciberataques en el sector sanitario, la naturaleza destructiva del ransomware y cómo proteger los datos contra él.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

¿Por qué el ransomware ataca a las instituciones sanitarias?

El ransomware ataca a las organizaciones sanitarias debido a la naturaleza de los datos que gestionan y almacenan. Los hospitales, clínicas, laboratorios y otras organizaciones sanitarias modernas utilizan intensivamente sistemas digitales para realizar diagnósticos, almacenar historiales médicos y llevar a cabo evaluaciones de salud. Los profesionales médicos necesitan acceder a estos sistemas para realizar operaciones esenciales, que en ocasiones salvan vidas.

Los ciberdelincuentes creen que, al atacar a las organizaciones sanitarias y bloquear el acceso a los datos mediante ransomware, las víctimas no tendrán más remedio que pagar el rescate para recuperar rápidamente el acceso a sus datos. Hay mucho en juego y los pacientes pueden morir sin asistencia médica si los sistemas digitales de un hospital no funcionan.

Los registros médicos son datos valiosos para los delincuentes, ya que incluyen información personal como direcciones, números de teléfono, correos electrónicos, otros identificadores personales, información sobre seguros y historial médico. Los atacantes pueden robar estos datos antes de destruirlos para utilizarlos en ataques personalizados. La información sobre investigación y desarrollo (como el desarrollo de vacunas o nuevos remedios) también es valiosa y el coste de perderla puede ser demasiado alto.

Además, la mayoría de las organizaciones sanitarias destinan la mayor parte de su presupuesto a equipos médicos, y la ciberseguridad tiene una prioridad menor. Se necesitan inversiones adicionales para garantizar una mejor ciberseguridad y evitar que los piratas informáticos aprovechen las vulnerabilidades existentes para ejecutar ciberataques contra el sector sanitario.

Además, las organizaciones del sector sanitario están sometidas a la presión de las instituciones reguladoras, que imponen multas por incumplimiento. Los atacantes suponen que este factor financiero puede ayudarles a obtener el pago de ransomware por parte de sus víctimas.

Ataques recientes de ransomware en el sector sanitario: ejemplos globales

A continuación, se muestran ejemplos globales de ataques de ransomware a organizaciones sanitarias.

Cambiar la asistencia sanitaria (Febrero de 2024). Un ataque de ransomware perpetrado por el grupo ALPHV/BlackCat interrumpió los sistemas de tramitación de reclamaciones y pagos, lo que afectó a una parte significativa del sistema sanitario estadounidense. La brecha expuso datos confidenciales de, potencialmente, un tercio de todos los ciudadanos estadounidenses y generó costes. superando los mil millones de dólares.

Ascension Healthcare (mayo de 2024). Ascension, uno de los sistemas sanitarios sin ánimo de lucro más grandes de Estados Unidos, sufrió un ataque de ransomware que interrumpió los registros médicos electrónicos y los servicios de diagnóstico en sus 120 hospitales. El incidente provocó retrasos en la atención a los pacientes y pérdidas económicas significativas.

Rite Aid (junio de 2024). La cadena de farmacias sufrió una filtración de datos que comprometió la información personal de aproximadamente 2,2 millones de personas, incluidos nombres, direcciones y números de permiso de conducir. El grupo RansomHub reivindicó la autoría del ataque. Las demandas judiciales y las pérdidas económicas son las principales consecuencias negativas de este ataque.

Synnovis (Junio de 2024). Un ataque de ransomware contra el sector sanitario perpetrado por el grupo Qilin tuvo como destino Synnovis, un proveedor de servicios de patología del Servicio Nacional de Salud (NHS) del Reino Unido. El ransomware cifró los datos críticos de la organización. La brecha provocó la cancelación de más de 1100 operaciones y la exposición de casi 400 GB de datos sanitarios confidenciales, lo que supuso unas pérdidas económicas de aproximadamente 32,7 millones de libras esterlinas.

Hospital Infantil Alder Hey (noviembre de 2024). El grupo INC Ransom afirmó haber robado datos del hospital en el Reino Unido, incluyendo historiales de pacientes e información sobre adquisiciones. El hospital está investigando la violación junto con la Agencia Nacional contra el Crimen.

MediSecure (noviembre de 2023). Un ataque a esta receta electrónica. proveedor en Australia expuso la información personal y médica de aproximadamente 12,9 millones de personas. La filtración pasó desapercibida hasta mayo de 2024 y provocó que MediSecure entrara en administración voluntaria.

Centro Hospitalario Universitario de Zagreb (junio de 2024). El grupo de ransomware LockBit atacó el centro médico más grande de Croacia, interrumpiendo sus operaciones debido a la indisponibilidad de datos y sistemas informáticos. El grupo afirmó haber sustraído una gran cantidad de archivos, incluidos historiales médicos.

Como puede ver, el ransomware puede:

  • Cifrar/destruir datos y hacer que los sistemas digitales queden inutilizables.
  • Robar datos silenciosamente.

El coste del ransomware en el sector sanitario

El número de ataques de ransomware en todo el mundo aumenta año tras año. En 2024, los grupos de ransomware declararon haber realizado con éxito 5461 ataques de ransomware, y las organizaciones atacadas confirmaron 1204 ataques de ransomware. La mayoría de los ataques se llevaron a cabo contra instituciones de Europa y Norteamérica. La demanda media de rescate en 2024 fue de 3,5 millones de dólares, y la cantidad de pagos registrados a los ciberdelincuentes fue de unos 133,5 millones de dólares.

En cuanto a los ataques de ransomware en el sector sanitario, en 2024 se confirmaron 181 ataques. Según The HIPAA Journal, la demanda media de rescate fue de 5,7 millones de dólares. Cyber Insurance News informó de que el 67 % de las organizaciones sanitarias fueron el destino de ataques de ransomware, frente al 60 % en 2023.

El 65 % de las organizaciones que trabajan en el sector sanitario informaron de que las demandas de rescate superaban el millón de dólares, y el 35 % se enfrentó a demandas de más de 5 millones de dólares. Los costes de recuperación después de un ataque de ransomware también aumentaron: 2,57 millones de dólares en 2024, frente a los 2,2 millones de dólares de 2023, lo que supone el doble que en 2021.

Vectores comunes de ransomware en entornos médicos

Es importante conocer los vectores comunes de los ataques de ransomware en entornos médicos. Esta información puede ayudar a reducir los riesgos y mitigar los problemas. La mayoría de los métodos son idénticos a los enfoques generales utilizados por los ciberdelincuentes.

Correos electrónicos de phishing son el método más habitual para iniciar ataques de ransomware contra organizaciones sanitarias. Los archivos adjuntos maliciosos, los documentos de Microsoft Office con macros maliciosas y los enlaces a sitios web maliciosos se utilizan ampliamente para instalar ransomware en instituciones sanitarias utilizando los ordenadores de los usuarios finales. Estos correos electrónicos A menudo se hacen pasar por proveedores, administradores o incluso departamentos internos. Los atacantes utilizan prácticas de ingeniería social para inducir urgencia y crear un punto de entrada.

Vulnerabilidades del escritorio remoto son otro método muy utilizado para infectar ordenadores con ransomware. Los ciberdelincuentes aprovechan las vulnerabilidades de los protocolos y el software de escritorio remoto para lanzar sus ataques. Una configuración inadecuada de los servicios de escritorio remoto y unas contraseñas y ajustes de seguridad débiles pueden abrir la puerta al ransomware en las organizaciones sanitarias. Los atacantes buscan puertos RDP abiertos, utilizan fuerza bruta o credenciales robadas y obtienen acceso directo a los sistemas.

Vulnerabilidades del softwareLos atacantes pueden aprovechar las vulnerabilidades del software en los sistemas operativos, las aplicaciones y otros programas. El software médico especializado puede tener vulnerabilidades conocidas y los atacantes pueden aprovecharlas para instalar ransomware en los equipos, propagarlo y destruir datos. Las vulnerabilidades de día cero son las más peligrosas, ya que son nuevas y desconocidas para los proveedores, pero son utilizadas por los piratas informáticos.

Unidades USB infectadas. Un actor malintencionado puede insertar una unidad flash USB infectada en el puerto USB de un ordenador situado en una ubicación accesible dentro de una organización médica. Esto puede infectar un ordenador con ransomware y propagarlo por la red de la organización.

Autenticación. Se utilizan contraseñas débiles y credenciales robadas para iniciar sesión en un sistema e instalar ransomware. Los ciberdelincuentes pueden utilizar datos de violaciones anteriores para acceder a ordenadores y redes.

Prácticas recomendadas para prevenir el ransomware en el sector sanitario

Implemente las prácticas recomendadas que se indican a continuación para proteger sus datos y prevenir el ransomware en las organizaciones sanitarias. Las medidas de protección contra el ransomware requieren un enfoque multicapa:

  • Reforzar la seguridad del correo electrónico. Configurar los filtros de spam y protección del correo electrónico Sistemas para reducir los intentos de phishing. Eduque a los usuarios para que reconozcan los correos electrónicos y enlaces sospechosos. Los usuarios deben informar de ellos a los administradores. Puede utilizar entornos aislados para los archivos adjuntos de correo electrónico.
  • Utilice un software antivirus actualizado.. Instale el antivirus de un proveedor de confianza. El software antivirus y antimalware puede detectar rápidamente el ransomware y eliminar los archivos maliciosos para evitar la infección. Los sistemas antivirus modernos pueden analizar actividades sospechosas en un sistema operativo y de archivos, que pueden ser signos de ransomware. Los sistemas de prevención de intrusiones mejoran el nivel general de protección contra el ransomware.
  • Instalar parches de seguridad para corregir vulnerabilidades de software.No olvide instalar los parches de seguridad en los sistemas operativos, las plataformas de historias clínicas electrónicas, los sistemas PACS/RIS y los dispositivos médicos.
  • Garantizar la seguridad de la red. Configure el cortafuegos y cerre los puertos que no utilice para reducir la superficie de posibles ataques. Aísle las redes para limitar la propagación del ransomware en caso de infección. Segmente las redes para aislar los dispositivos médicos, los sistemas de administración y las redes Wi-Fi públicas. Asegúrese de configurar la supervisión del uso de la red, el disco y el procesador, ya que el ransomware suele provocar una gran carga en la red para realizar el cifrado de los datos.
  • Implementar una política de seguridad eficaz.. Configure controles de acceso sólidos con derechos de acceso adecuados, contraseñas seguras y métodos de autenticación (especialmente para el correo electrónico). Configure la autenticación multifactorial para los sistemas críticos. Considere la posibilidad de aplicar el control de accesos basado en roles y el principio del mínimo privilegio.
  • Educar a los usuarios. Imparta formación sobre ciberseguridad adaptada a los escenarios sanitarios. Informe a los usuarios sobre los principales vectores de ransomware en el ámbito sanitario y los primeros indicios de infección. Los usuarios deben desconectar de la red cualquier ordenador infectado o que presente un comportamiento sospechoso y apagarlo para evitar que el ransomware se propague y cifre los datos. Realice pruebas periódicas de phishing a los usuarios para reforzar su vigilancia.
  • Haga backup de los datos con regularidad.Realice backups periódicos configurando backups programados y automatizados con intervalos específicos. Utilice el Regla de backup 3-2-1 para almacenar múltiples copias de backup en diferentes ubicaciones. Si el ransomware destruye una copia de los datos, tendrá más posibilidades de restaurar sus datos desde otra copia intacta. Utilice almacenamiento aislado de la red, como discos duros desconectados del origen o cartuchos de cinta, ya que el ransomware no puede acceder físicamente a los medios desconectados. Configuración inmutabilidad de los backups Mejora la protección contra el ransomware, ya que este no puede modificar datos inmutables.
  • Crear un plan de recuperación. Crear un plan de respuesta ante incidentes y un plan de recuperación ante desastres. Un plan de respuesta ante ransomware debe incluir listas de contactos, protocolos legales y normativos (por ejemplo, notificación de infracciones de la HIPAA), estrategias de recuperación y comunicación.
  • No pagues el rescate a los ciberdelincuentes.. Pagar el rescate anima a los creadores de ransomware a lanzar más ataques para obtener más dinero. En caso de infección por ransomware, se recomienda no pagar a los atacantes. Las organizaciones que pagan un rescate no tienen garantía alguna de que los datos cifrados se restauren o de que los datos robados no se transfieran a otras personas.

El rol de las copias de seguridad y la recuperación ante desastres en la defensa contra el ransomware

Los backups y la recuperación ante desastres desempeñan un papel fundamental en la defensa contra el ransomware en el sector sanitario, ya que garantizan que las organizaciones puedan recuperar sus operaciones y datos sin tener que pagar un rescate. Si las medidas preventivas no logran proteger los datos originales contra el ransomware, puede recuperar datos desde un backup.

  • Recuperación de datos sin pagar un rescateLa principal defensa contra el ransomware es la capacidad de restaurar datos limpios desde una copia de backup si la copia original de los datos está dañada. Con copias de backup verificadas y aisladas, las organizaciones sanitarias pueden evitar pagar a los atacantes y reanudar los servicios con pérdidas mínimas.
  • Protección de datos si el ransomware realiza el cifrado de los datosEl ransomware cifra (corrompe) o elimina datos. Con una solución de protección de datos, las organizaciones sanitarias pueden recuperar datos, incluidos los registros médicos electrónicos, los datos de imágenes (PACS) y los sistemas de programación y facturación.
  • Garantizar la continuidad del negocio. Puede recuperar los datos y restablecer la disponibilidad del servicio en poco tiempo. Este es el método más rápido para recuperar datos después de una infección por ransomware. Como resultado, puede minimizar el tiempo de inactividad y las pérdidas económicas. Cada minuto de inactividad en el sector sanitario puede tener graves consecuencias, como retrasos en la atención al paciente, sanciones legales o normativas y daños a la reputación.

Es importante elegir una solución de protección de datos fiable que le permita implementar las prácticas recomendadas para protegerse contra los ataques de ransomware y que permita una recuperación rápida.

Cumplimiento normativo y protección de datos en el sector sanitario

El cumplimiento normativo y la protección de datos en el sector sanitario son esenciales para garantizar la seguridad de los pacientes, mantener la confianza y evitar sanciones legales y económicas. Estas normativas regulan cómo se recopilan, almacenan, acceden y protegen los datos, especialmente frente a amenazas de ciberseguridad en el sector sanitario, como el ransomware.

El cumplimiento normativo es importante en el ámbito sanitario porque:

  • Las organizaciones sanitarias manejan información médica protegida, que incluye diagnósticos, tratamientos, historiales médicos e información de facturación.
  • Las infracciones pueden provocar daños a los pacientes, robo de identidad y pérdida de la confianza pública.
  • El incumplimiento puede dar lugar a multas, acciones legales y sanciones en materia de licencias.

Las principales normativas sobre protección de datos sanitarios son:

  • HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) – EE. UU.
    • Enfoque: Protección de la información médica protegida.
    • Regla de privacidad: regula el acceso y el uso de la información médica protegida.
    • Norma de seguridad: Requiere protección técnica, administrativa y física.
    • Regla de notificación de infracciones: exige la divulgación oportuna de las infracciones.
    • Sanciones: Hasta 1,9 millones de dólares por infracción al año.
  • RGPD (Reglamento general de protección de datos) – UE/EEE.
    • Enfoque: Protección de datos personales, incluidos los datos sanitarios.
    • Disposiciones clave: consentimiento informado para el uso de datos, derecho al olvido, minimización de datos y cifrado.
    • Sanciones: hasta 20 millones de euros o el 4 % del volumen de negocios anual global.
  • PIPEDA (Ley de Protección de Datos Personales y Documentos Electrónicos)
    • Trata sobre cómo los proveedores de atención médica del sector privado gestionan los datos de los pacientes.
    • Requiere transparencia, consentimiento y notificación de infracciones.
  • Otras regulaciones destacadas:
    • Australia: Ley de Registros Médicos, Ley de Privacidad.
    • India: Ley de Protección de Datos Personales Digitales (DPDP), DISHA (propuesta).
    • Singapur: Ley de Protección de Datos Personales (PDPA).

Los requisitos normativos y de cumplimiento afectan a los principios básicos de protección de datos en el ámbito sanitario:

  • Confidencialidad:
    • Solo el personal autorizado debe acceder a la PHI.
    • Uso de controles de accesos basados en roles y cifrado.
  • Integridad:
    • Asegúrese de que la PHI sea precisa y no haya sido alterada.
    • Registrar todos los accesos y cambios.
  • Disponibilidad:
    • Los sistemas deben tener resiliencia y mantener el tiempo de actividad, especialmente para cuidados críticos (EHR, PACS).
    • Respaldado por backups y recuperación ante desastres.

Estos factores y requisitos de cumplimiento afectan a la estrategia de protección contra el ransomware en las organizaciones sanitarias, incluida la protección de datos.

Conclusión

El ransomware en el sector sanitario es especialmente peligroso, ya que puede afectar a la salud de los pacientes. A medida que aumenta el número de ataques de ransomware, se recomienda encarecidamente que las organizaciones sanitarias implementen medidas preventivas para proteger los datos. Hacer backup y realizar la recuperación ante desastres son esenciales y ayudan a recuperar los datos rápidamente sin tener que pagar un rescate. Utilizar NAKIVO Backup & Replication Proteger los datos contra el ransomware con funciones avanzadas, como la inmutabilidad de los backups, el cifrado y la restauración del entorno.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
Técnicas de copia de seguridad y recuperación de bases de datos SQL
Picture
NAKIVO Backup & Replication v10.11: Descripción general de la versión
Picture
Cómo hacer backup de VMware Virtual Machines: Lista de comprobación