El sector sanitario atraviesa una crisis de ciberseguridad, y los datos oficiales lo confirman. Según difundió The Hipaa Journal, con datos del portal de brechas de seguridad del Office for Civil Rights de EE. UU., la información médica protegida de los pacientes se está exponiendo y robando a un ritmo sin precedentes. Entre 2021 y 2024, se notificaron más de 700 grandes brechas sanitarias cada año, todas afectando al menos a 500 personas, con un promedio de 203.892 individuos comprometidos por incidente. En solo cuatro años, más de 595 millones de personas vieron expuesta su información sanitaria.

Aunque los atacantes externos son quienes acceden finalmente a los sistemas, el análisis de fondo revela un patrón preocupante: la causa raíz suele ser humana. Los hackers han intensificado sus ataques contra el sector de la salud y la salud pública, y hoy los incidentes de hacking y TI representan la mayoría de las brechas reportadas. Cuentas de correo comprometidas, redes vulneradas y robo de datos son el resultado final, pero en muchos casos la puerta de entrada fue abierta por un empleado o por personal de un socio comercial.

Los empleados sanitarios se han convertido en el eslabón más débil de la ciberseguridad, y los ciberdelincuentes lo saben. Ya sea por descuido, errores humanos, malas decisiones o falta de conocimientos básicos de higiene digital, las acciones del personal provocan violaciones graves de la privacidad del paciente y costosas brechas de datos. Incluso los incidentes aparentemente menores pueden dañar seriamente la reputación de una organización sanitaria y han derivado en numerosas sanciones económicas impuestas a entidades reguladas por HIPAA.

Diversos estudios refuerzan esta conclusión. Un informe de Verizon reveló que el 70% de las brechas de datos sanitarios son causadas por insiders, un aumento notable frente al 39 % registrado en 2021. Encuestas de HIMSS confirman que los empleados representan la mayor vulnerabilidad del sector, y otro estudio indica que el 65 % del personal sanitario adopta atajos de seguridad que ponen en riesgo los datos de los pacientes.

Uno de los vectores más comunes siguen siendo el phishing y la ingeniería social. En los últimos cinco años, múltiples incidentes han demostrado cómo simples respuestas a correos maliciosos derivaron en el robo de millones de registros médicos, demandas judiciales y multas millonarias por violaciones de HIPAA. Desde empleados de redes sanitarias en California hasta organismos públicos de Illinois y Los Ángeles, las campañas de phishing han logrado robar credenciales, acceder a cuentas de correo y exponer datos sensibles de cientos de miles (e incluso millones) de pacientes.

A estos ataques se suman otros errores humanos críticos, como la descarga accidental de malware, malas prácticas de ciberhigiene y configuraciones incorrectas de sistemas y bases de datos. Casos documentados incluyen desde ransomware provocado por la ejecución de archivos maliciosos hasta servidores mal configurados que dejaron expuestos millones de registros médicos, datos de ensayos clínicos, historiales de pacientes e información sensible de empleados. En conjunto, estos incidentes refuerzan una conclusión clara: la tecnología falla, pero el factor humano sigue siendo el punto más vulnerable. Y las organizaciones, lejos de quitarse responsabilidad, deben asumirla. Porque concientizar, limitar los accesos y confianza de los sistemas, también es una tarea que les corresponde. Sobre todo con el personal médico o no técnico, que debe poner sus esfuerzos en la atención de los pacientes y no en cuestiones informáticas.