La digitalización en la prestación de servicios de salud y en la organización de los centros sanitarios ha brindado numerosas ventajas en la comodidad de las gestiones con los ciudadanos, en la agilización de los trámites y hasta en la aparición de nuevas herramientas que suponen avances muy relevantes en la detección y el diagnóstico temprano de enfermedades. Sin embargo, también presentan riesgos. Crece la posibilidad de ciberataques, como los vividos en los últimos tiempos en hospitales y centros sanitarios de gran relevancia. Las motivaciones económicas con la venta de datos o incluso la petición de rescates se encuentran detrás de la mayoría de estas actuaciones. A ello contribuye también la extensión de las criptomonedas que dificultan la trazabilidad del dinero. 

Todo ello pone en peligro la confidencialidad de la información personal de los pacientes, cuya protección es un derecho fundamental garantizado por la Constitución Española en su artículo 18.4 (al establecer que “la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos”), y respaldado por el Reglamento Europeo de Protección de Datos y la Ley de Protección de Datos, que establecen normas específicas para garantizar la privacidad y seguridad de la información personal.

La protección de los datos de salud está estrechamente relacionada con los problemas de seguridad cibernética. Según los datos del Instituto Nacional de Ciberseguridad en España (INCIBE) de 2022, las incidencias en cuanto a ciberataques en el sector salud se clasifican en cinco grandes apartados: sistemas expuestos/vulnerables (60,81%), robo de información (20,88%), fraude (6,59%), intrusiones (4,76%) y malware (4,76%).

Los problemas más comunes se refieren a la exposición de datos personales que, en un sector en el que el vector principal es la salud, resulta especialmente grave y genera un sentimiento de temor y desconfianza en toda la sociedad. No sólo por el perjuicio que provoca sobre la intimidad, sino también porque puede dar lugar a otras actuaciones delictivas como el fraude en el pago de seguros o la suplantación de identidad.  A destacar que los datos relativos a la salud tienen la consideración de datos sensibles y están especialmente protegidos por la normativa. Por ello, el sector sanitario tiene el enorme reto y responsabilidad de protegerse ante los ciberataques, cada vez más frecuentes.

Pero también puede suponer riesgos para la propia atención al paciente si estos ciberataques interfieren, por ejemplo, en el funcionamiento de un dispositivo o en la administración y prescripción de determinada medicación. Sin que se haya producido un secuestro de datos, la propia interferencia en el funcionamiento de una base de datos puede impedir al facultativo que acceda correctamente al resultado de pruebas diagnósticas o al historial médico de los pacientes con consecuencias que pueden llegar a ser muy graves. Es importante desterrar la imagen de un ciberdelincuente solitario que experimenta desde su habitación y tener en cuenta que, en estas ocasiones, nos enfrentamos a auténticas organizaciones criminales compuestas por delincuentes sin escrúpulos.
 

¿Qué podemos hacer frente a esta amenaza? 

En primer lugar, tenemos que partir de un análisis realista de la situación: la seguridad y la protección totales son una quimera. Sin embargo, sí debemos alcanzar el mayor grado posible e implementar todas las acciones necesarias para prevenir y ofrecer una respuesta rápida a estos ataques. Además, en muchas ocasiones los avances en esta materia son reactivos, intentando dar respuesta a un riesgo que ya se ha materializado.