Laura Sánchez tiene 32 años y llevaba años trabajando en la misma clínica dental, un lugar donde siempre se sentía cómoda y segura. Con el paso del tiempo, Laura se fue quedando un poco desfasada en cuanto a los nuevos peligros digitales, confiando en que nada malo pasaría.
Sin embargo, una mañana que parecía normal, recibió un correo electrónico de un proveedor habitual. Sin pensarlo dos veces, hizo clic en el enlace, sin saber que, con ese gesto, estaba dejando entrar al peor intruso que su clínica podría imaginar: el ransomware.
El falso técnico que revisa tus archivos
Imagina lo siguiente: una mañana, Laura recibe en la clínica a un técnico que asegura haber sido enviado por el dueño para revisar el sistema de aire acondicionado.
Ella, como siempre, le deja pasar, convencida de que es una visita rutinaria. Pero esta vez es diferente.
En lugar de reparar nada, este “técnico” empieza a pasear por las oficinas, revisando cada archivador y cada carpeta con información confidencial: datos de pacientes, de empleados, números de teléfono, cuentas bancarias, historiales médicos.
Uno a uno, va cerrando estos archivos con candados, asegurándose de que nadie pueda volver a abrirlos.
Antes de irse, también hace copias de la información más valiosa, que podrá vender en el mercado negro o utilizar como parte de la extorsión.
Y cuando termina, se dirige al despacho del responsable de la clínica para comunicarle su mensaje:
“Si queréis volver a acceder a vuestros propios archivos, tendréis que pagar un rescate.”
¿Qué es exactamente el ransomware?
Si llevamos esta historia del técnico al terreno digital, el ransomware sería ese mismo intruso, pero invisible y silencioso.
En lugar de entrar por la puerta principal, se cuela en tu clínica a través de un simple correo electrónico que parece inofensivo.
Este ransomware hace exactamente lo mismo que el falso técnico:
- Recorre todos tus archivos,
- los bloquea con “candados”,
- y los deja inaccesibles para todo el personal.
Pero, a diferencia de un ladrón convencional, el ransomware no necesita forzar cerraduras físicas: actúa dentro de tu sistema informático, conectado por la red y aprovechando cualquier descuido.
Normalmente, llega disfrazado de un mensaje legítimo de un proveedor, un compañero de trabajo o incluso un paciente que solicita información o envía un documento.
En cuanto alguien hace clic, comienza su labor silenciosa:
- Escanea todos los datos,
- los encripta,
- y finalmente muestra un mensaje con la amenaza:
“Si quiere volver a acceder, deberá pagar un rescate.”
El rescate se exige casi siempre en criptomonedas, precisamente para que el pago no pueda rastrearse.
El dilema: pagar o no pagar
Cuando Laura se da cuenta de que no puede abrir los archivos, avisa al responsable de la clínica. Entonces llega el momento más tenso: decidir si se paga el rescate con la esperanza de recuperar la información o si se intenta restaurar todo a partir de las copias de seguridad (si es que existen y funcionan).
Pero aquí viene uno de los problemas más graves: aunque se consigan recuperar los datos, nada garantiza que no hayan sido robados previamente.
Los ciberdelincuentes pueden:
- Venderlos en el mercado negro.
- Extorsionar a la clínica o a los propios pacientes.
- Usarlos para cometer fraudes de identidad.
El daño no solo es económico. Es también una cuestión de reputación y confianza.
Y, precisamente, esa combinación de presión económica, daño reputacional y bloqueo operativo es lo que convierte el pago del rescate en una decisión tan complicada. Esta decisión es, sin duda, uno de los mayores dilemas a los que se enfrentan las clínicas que sufren un ataque de ransomware. La mayoría de expertos en ciberseguridad y organismos oficiales recomiendan no pagar el rescate, ya que hacerlo no garantiza que los ciberdelincuentes devuelvan el acceso a los datos ni que no vuelvan a atacar en el futuro. Además, el pago alimenta la continuidad de estas redes criminales. Sin embargo, en la práctica, muchas organizaciones optan por pagar ante la presión de recuperar la información lo antes posible y reanudar su actividad. Por eso, contar con un plan de respuesta y copias de seguridad actualizadas es clave para reducir la dependencia de esta decisión tan crítica.
¿Cuántas “Lauras Sánchez” hay en tu clínica?
Laura Sánchez es un personaje ficticio. Pero, si lo piensas bien, en cada clínica hay varias “Lauras Sánchez”: profesionales entregados que hacen su trabajo con responsabilidad y dedicación, pero que no son conscientes de lo vulnerables que pueden ser frente a los ciberdelincuentes.
La mayoría de los empleados pasan gran parte de su jornada conectados a internet: navegando, consultando proveedores, haciendo compras o incluso revisando redes sociales y vídeos en su tiempo libre. Muchos lo hacen desde el mismo ordenador de la clínica o con su propio móvil conectado a la red de la empresa.
Sin embargo, muy pocos invierten tiempo en mantenerse al día sobre los riesgos digitales. Algunos piensan que es un problema lejano o que “esas cosas solo les pasan a otros”. Otros no sienten interés por formarse en estos temas. El resultado: tu clínica se convierte en un objetivo fácil y rentable para los atacantes.
Y aquí es donde entra tu papel como responsable de la clínica:
Es tu responsabilidad asegurarte de que todo tu equipo esté informado, formado y preparado.
Porque la mejor tecnología de seguridad puede fallar si las personas que la utilizan no comprenden cómo protegerse.
Invertir en concienciación y formación no es un gasto: es la mejor inversión para prevenir pérdidas económicas, daños reputacionales y problemas legales.
Algunos casos reales que demuestran que esto ocurre cada día
Aquí tienes algunos ejemplos recientes de ataques sufridos por centros sanitarios:
🔹 Reino Unido (junio 2024) – Proveedor Synnovis/NHS Londres
Un ataque de ransomware del grupo Qilin afectó al proveedor de servicios de patología Synnovis, paralizando laboratorios que abastecían a siete hospitales del NHS en Londres: King’s College, Guy’s, St Thomas’, Evelina y otros.
- Impacto: cancelación de casi 1 600 operaciones y citas.
- Datos robados: 104 archivos (~3,7 GB), incluyendo datos de pacientes y resultados de análisis.
- Coste estimado: más de 32,7 M £ en daños; el rescate exigido fue de unos 50 M $.
Además, se reconoció que el ataque contribuyó a la muerte de un paciente por retrasos en análisis críticos.
🔹 Escocia (febrero 2024) – NHS Dumfries & Galloway
Ataque atribuido al grupo Inc Ransom, que exfiltró cerca de 3 TB de datos del NHS escocés.
- Impacto: publicación de correos, resultados médicos y radiografías en la dark web.
- El consejo se negó a pagar, y los atacantes divulgaron la información.
🔹 Estados Unidos (febrero 2024) – Change Healthcare / UnitedHealth
El grupo BlackCat/ALPHV atacó los sistemas de Change Healthcare (UnitedHealth), afectando a unos 190 M de registros.
- Rescate pagado: 22 M $ en criptomonedas; posteriormente se realizó una estafa secundaria con la misma compra de datos.
- Impacto: interrupción durante semanas en numerosos hospitales y centros de salud.
🔹 Estados Unidos (enero 2024) – Frederick Health (Maryland) y hospital en California
Dos ciberataques a entidades médicas provocaron la filtración de datos de más de 1,1 M de pacientes. Se expusieron aproximadamente 480 GB de información.
🔹 Estados Unidos (agosto 2024) – McLaren Health Care (Michigan)
Un ataque a la red hospitalaria de McLaren comprometió datos personales de más de 740 000 personas, incluyendo números de seguridad social e información sobre seguros médicos.
🔹 Costa Rica (mayo 2022) – Caja Costarricense de Seguro Social (CCSS)
Grupo Hive/Conti atacó los sistemas de salud pública; se apagaron sistemas críticos y el rescate exigido superaba los 5 M $.
- Se interrumpieron laboratorios, consultas y servicios médicos.
- Más de 9 000 equipos afectados y cerca de 800 servidores comprometidos.
Estos casos demuestran que no importa el tamaño o ubicación, los ataques a la salud son una amenaza real, constante y cada vez más agresiva. Cada uno de estos incidentes:
- Se ha cobrado grandes sumas en rescates o costes indirectos.
- Ha comprometido millones de datos de pacientes.
- Ha interrumpido operaciones clínicas diarias.
- En algunos casos, ha tenido consecuencias en la salud e incluso en vidas.
