¿Te imaginas que alguien pudiera entrar en tu clínica cada noche, abrir los archivadores con las historias clínicas, hacer copias de todos los estudios de tus pacientes —radiografías, ecografías, análisis de laboratorio— y luego salir sin dejar rastro?
Y que al día siguiente, tú siguieras atendiendo con normalidad. Sin notar nada raro. Todo igual. Hasta que un día, alguien externo te avisa: “Tus datos están a la venta. Todos”.
Eso fue lo que ocurrió, hace muy poco, en Argentina.
El grupo criminal D0T CUM —conocido por filtrar y vender datos robados— puso a la venta:
- 665.128 estudios médicos,
- incluyendo radiografías, ecografías, tomografías (TAC),
- resultados de análisis clínicos y de laboratorio,
- y otros documentos sensibles con datos personales de pacientes y profesionales.
Un proveedor de software médico fue atacado. Y ese único incidente dejó expuestos cientos de miles de estudios clínicos de decenas de clínicas y hospitales que usaban esa herramienta a diario.
Y lo más inquietante no es solo la magnitud de la filtración, sino cómo se enteraron.
No fue porque una clínica detectara algo raro.
- Nadie en los centros afectados detectó la intrusión.
- No hubo alertas, ni bloqueos, ni síntomas.
- Durante días o semanas, los datos fueron robados sin que nadie se enterara.
- Nadie estaba vigilando.
Y aquí es donde surge la gran pregunta que espero que sirva de reflexión:
¿Cómo es posible que nadie se diera cuenta?
¿Nadie monitorea quién entra al sistema? ¿Desde dónde? ¿A qué hora? ¿Por qué puerto?
¿Nadie revisa si hay accesos raros a medianoche desde otro país?
¿Nadie está vigilando?
En una clínica, hay una recepcionista que controla quién entra, quién sale, si tiene cita o no. ¿Por qué no hay alguien —o algo— que haga lo mismo con tus sistemas?
Porque lo digital también tiene una puerta. Y si nadie la cuida, entran. Y se llevan lo más sensible que tienes.
Este artículo no es para asustarte.
Es para que entiendas qué pasó, por qué los ciberataques en clínicas privadas están aumentando, y qué puedes hacer tú para evitarlo, aunque creas que tienes “todo controlado”.
El caso de ransomware que expuso más de 665.000 estudios médicos en Argentina
Los protagonistas.
El ataque ocurrió contra un software llamado Informe Médico, que usan más de 30 clínicas, sanatorios y hospitales en Argentina. Es una plataforma bastante común para gestionar estudios de imagen (radiografías, ecografías, tomografías), análisis clínicos y otros documentos médicos. Básicamente, funciona como un archivo digital central donde se guarda todo lo que una clínica necesita para trabajar cada día. Este es uno de los casos más graves de ciberataques en clínicas privadas registrados en América Latina.
El 4 de abril de 2025, una firma de ciberinteligencia llamada Birmingham Cyber Arms LTD detectó que algo no andaba bien. En un foro clandestino de la dark web apareció una oferta: más de 665.000 estudios médicos estaban a la venta.
No hablamos de un documento suelto. No es un error menor.
Hablamos de cientos de miles de estudios clínicos reales. Con nombres, apellidos, resultados, imágenes. Información médica confidencial, extraída directamente del sistema que las clínicas usan a diario.
Días después, el 15 de abril, fue INCIBE-CERT —el organismo español especializado en ciberseguridad— quien lo confirmó públicamente: el proveedor había sido comprometido, los datos estaban expuestos, y lo peor de todo… las clínicas no lo sabían.
Imagínate que alguien entra a robar a tu consulta, pero no una vez. Lo hace cada noche, durante días. Y no te das cuenta hasta que alguien externo —que ni conoces— te lo dice.
Y lo que ofrecía el grupo criminal que robó los datos, D0T CUM, no era solo un aviso. Era una amenaza.
Pusieron los estudios a la venta. Eso quiere decir que probablemente intentaron extorsionar antes. Y que, como no pagaron, decidieron publicar todo como castigo. Este tipo de ataque —extorsión sin cifrado— se está volviendo cada vez más común: no necesitan bloquearte el sistema, les basta con copiar lo que hay y amenazar con hacerlo público.
En este caso, al comprometer al proveedor, afectaron en cadena a todos sus clientes. Eso incluye clínicas privadas, centros de diagnóstico, hospitales… todos aquellos que usaban ese software para operar día a día.
¿Dónde estuvo el fallo?
Por qué casi nunca explican cómo ocurrió el ataque
La causa exacta del ataque no ha sido confirmada.
Los informes oficiales no incluyen detalles técnicos sobre cómo entraron los atacantes, ni qué falló. Lo único que se ha publicado —a través de medios de comunicación— es una hipótesis: que se trató de un ataque a la cadena de suministro. Es decir, que el objetivo fue el proveedor de software, y que desde allí se comprometieron los datos de todas las clínicas conectadas.
Es una posibilidad. Pero no hay confirmación.
Y eso, sinceramente, se repite demasiado en este sector.
Cuando hay un ataque, rara vez se explica cómo ocurrió. No se detalla qué vulnerabilidad se explotó, ni qué medidas fallaron. La información clave se omite. Y eso dificulta muchísimo que otras clínicas puedan protegerse a tiempo.
La falta de transparencia solo agrava el problema, y deja a otras clínicas igual de expuestas que la primera, pero sin saber por dónde les pueden entrar.
Si el fallo fue en el proveedor, esto es lo que probablemente ocurrió
Aunque no se ha confirmado oficialmente, varias fuentes coinciden en que el ataque podría haberse producido a través del proveedor de software. Si ese fue el punto de entrada —y es una hipótesis bastante razonable—, estaríamos ante un ataque a la cadena de suministro.
¿Qué significa eso?
Que los atacantes no tuvieron que comprometer una por una las clínicas afectadas. Les bastó con entrar al sistema central del proveedor que todas ellas usan. Desde ahí, tuvieron acceso directo a los datos clínicos gestionados por decenas de centros médicos.
Es como si, en lugar de forzar la puerta de cada consulta, hubieran entrado por la puerta trasera del edificio donde todos alquilan oficinas.
¿Y cómo puede haber ocurrido eso?
Pueden haber aprovechado vulnerabilidades en el propio software —por ejemplo, versiones desactualizadas, servicios expuestos sin protección, o integraciones inseguras con otros sistemas. También es posible que el acceso se haya conseguido a través de credenciales comprometidas, o mediante ingeniería social.
Y una vez dentro, lo demás fue simple: extraer los datos, copiarlos, y empezar el chantaje.
Lo más preocupante es que las clínicas no se dieron cuenta de nada.
Nadie detectó tráfico extraño, accesos a horas inusuales, conexiones desde ubicaciones desconocidas.
Y eso apunta a un fallo común: la mayoría de los centros confían plenamente en que el proveedor está vigilando por ellos.
Pero muchas veces, no es así.
Si nadie monitoriza accesos, movimientos de datos o actividad inusual en tu red… los atacantes pueden hacer lo que quieran. (Te recomiendo leer este artículo sobre puertos expuestos y monitoreo)
Y tú te enteras solo cuando es demasiado tarde.
¿Puede pasarle lo mismo a tu clínica?
Este caso no es un problema lejano.
No es “algo que pasó en Argentina” ni “algo que solo le ocurre a grandes hospitales”.
Este tipo de ataques puede afectarte aunque tu clínica no tenga servidores propios, ni un departamento de sistemas, ni nada “especialmente crítico” desde el punto de vista digital.
Un punto mal protegido en tu clínica podría ser una puerta de entrada para un ataque
Los ciberataques en clínicas privadas no requieren tecnología sofisticada para hacer daño. Solo necesitan un punto de entrada mal protegido.
De hecho, es justamente en ese tipo de entornos donde más fácilmente se cuelan los atacantes.
Porque si utilizas un software de terceros —como la mayoría de las clínicas privadas— y das por hecho que todo está “en la nube” y, por tanto, seguro… es muy probable que no tengas visibilidad ni control real sobre lo que ocurre con tus datos.
Y eso es un problema.
Muchos profesionales del sector salud confían implícitamente en que el proveedor tecnológico se encarga de todo. Suponen que, como el sistema no lo gestionan ellos directamente, el riesgo también está delegado.
Pero no es así. El riesgo sigue siendo tuyo.
Y si no haces preguntas, si no vigilas, si no exiges medidas de seguridad concretas, entonces no tienes ninguna garantía real.
Lo que este ataque demuestra es que no basta con contratar una plataforma y suponer que todo está cubierto.
Si ese software se ve comprometido, los atacantes no necesitan entrar en tu red, ni romper tus contraseñas. Les basta con aprovechar el acceso que ya tienen a través de esa herramienta que usas cada día para trabajar.
Y si no tienes una mínima supervisión —quién accede, desde dónde, a qué hora, con qué permisos—, te vas a enterar tarde. O ni siquiera te vas a enterar.
Esto significa que puedes estar haciendo bien tu trabajo, con buena fe, con buenas intenciones, y aun así dejar a tus pacientes expuestos.
No porque hayas hecho algo mal… sino porque nadie te ha enseñado a vigilar lo que hoy ya no puedes dejar sin vigilancia.
Cómo proteger los datos clínicos y evitar ciberataques en tu centro
Este ataque deja muchas señales que las clínicas no deberían ignorar. Aquí algunas de las más importantes:
1. No puedes proteger lo que no vigilas
Ninguna de las clínicas afectadas detectó el ataque. No hubo alertas. No hubo síntomas.
Los datos fueron extraídos sin que nadie lo notara.
Esto te deja una lección clara: si no sabes qué está ocurriendo en tus sistemas, no puedes protegerlos.
Y si no puedes protegerlos, tampoco puedes garantizar la confidencialidad de tus pacientes.
2. La seguridad de tu proveedor también es tu problema
Cuando delegas servicios esenciales (como la gestión de estudios clínicos) a un tercero, estás compartiendo más que una funcionalidad: estás compartiendo el riesgo.
Este incidente lo demuestra con claridad: un fallo en el proveedor afectó directamente a todas las clínicas que confiaban en él.
Y muchas de esas clínicas probablemente ni sabían qué medidas de seguridad tenía el sistema.
No necesitas ser experto en ciberseguridad, pero sí debes hacer preguntas claras a tus proveedores.
Preguntas como: ¿quién accede a mis datos?, ¿cómo están protegidos?, ¿qué pasa si hay una brecha?
Lo que puedes hacer dentro de tu clínica
- Limita los accesos. No todo el mundo necesita ver todo. Cada usuario debe tener acceso solo a lo que necesita para su trabajo.
- Activa alertas básicas. Muchos sistemas permiten activar notificaciones ante accesos fuera de horario o desde ubicaciones inusuales. Si tu proveedor lo permite, úsalo.
- Monitorea. Siempre. Igual que vigilas los signos vitales de un paciente, necesitas monitorear los signos vitales de tus sistemas. Quién entra, desde dónde, qué toca. No puedes proteger lo que no vigilas.
- Pide informes de actividad. Aunque no seas técnico, puedes pedir un resumen de accesos. Y si algo no cuadra, actúa.
- Ten un protocolo básico en caso de incidente. ¿Qué harías si mañana tus datos se ven comprometidos? ¿A quién llamarías? ¿Cómo avisarías a tus pacientes? Tener un plan, por simple que sea, siempre es mejor que improvisar.
Monitorear no es opcional. Ya no.
Es una palabra que tu clínica tiene que grabarse a fuego.
Para terminar: párate un momento y piensa
Si mañana alguien accede a los datos clínicos de tu centro sin que lo sepas, ¿cómo te enterarías?
Si un paciente te pregunta si su información está segura, ¿qué le responderías?
Y si descubres que han estado extrayendo estudios, análisis e historiales de forma silenciosa…
¿Qué parte de tu reputación, de tu confianza, de tu práctica profesional se vería comprometida?
Esto no va de tener miedo.
Va de asumir que, si gestionas datos de salud, tienes una responsabilidad muy concreta.
No puedes delegarla por completo. No puedes ignorarla. No puedes posponerla.
Y no hace falta ser técnico.
Hace falta preguntarse: ¿cómo estoy protegiendo lo más sensible que tengo frente a los ciberataques en clínicas privadas?
Y recuerda, cierra bien las puertas y también los puertos. Ciberprotégete.
