Datos sanitarios en la era digital: riesgos, indicadores y desafíos para el sector salud
La digitalización del sector sanitario europeo está situando los datos de salud en el centro de la transformación del sistema. Tanto los datos utilizados en la atención clínica como aquellos destinados a investigación, innovación o políticas públicas se consideran un elemento estratégico para mejorar la calidad asistencial, impulsar la investigación biomédica y favorecer la sostenibilidad del sistema sanitario.
Sin embargo, el uso de estos datos plantea retos relevantes en materia de ciberseguridad, gobernanza del dato y cumplimiento normativo, especialmente debido a la sensibilidad de la información sanitaria y a la complejidad del ecosistema tecnológico que la gestiona.
Indicadores de ciberseguridad en el sector sanitario europeo
Los análisis de amenazas realizados por ENISA muestran que el sector sanitario se encuentra entre los entornos más sensibles desde el punto de vista de la seguridad digital.
Incidentes registrados
- 4,2% de los incidentes de ciberdelincuencia en Europa afectaron al sector sanitario en 2024.
Tipos de ataques más frecuentes
- 54% ransomware
- 46% robo de datos
- 13% ataques de intrusión en sistemas
El ransomware destaca como el incidente de mayor impacto, ya que en muchos casos implica tanto la interrupción de servicios como la exfiltración de información.
Principales vectores de entrada de los ataques
Los datos analizados en el sector sanitario europeo identifican varias puertas de entrada habituales para los incidentes de seguridad:
- 68% mala configuración de seguridad
- 16% errores humanos o accesos indebidos internos
- 4% ingeniería social o phishing
- Vulnerabilidades en software o hardware dentro de la cadena de suministro tecnológica
Estos vectores muestran que los incidentes no dependen únicamente de ataques externos sofisticados, sino también de configuraciones incorrectas o fallos operativos.
Un ecosistema sanitario cada vez más complejo
La digitalización del sistema sanitario ha generado un entorno tecnológico formado por múltiples elementos interconectados:
- Historias clínicas electrónicas
- Dispositivos médicos conectados
- Plataformas de telemedicina
- Infraestructuras de datos sanitarios
La integración de estos sistemas crea infraestructuras heterogéneas en las que muchos dispositivos presentan ciclos de vida largos y pueden carecer de actualizaciones de seguridad periódicas, lo que incrementa la superficie de exposición a vulnerabilidades.
Además, la dependencia creciente de proveedores tecnológicos introduce riesgos adicionales en la cadena de suministro digital.
Marco normativo europeo para la seguridad de los datos sanitarios
La Unión Europea ha desarrollado un conjunto de normas destinadas a crear un ecosistema digital sanitario seguro y basado en la confianza. Entre los instrumentos regulatorios más relevantes se encuentran:
- Reglamento General de Protección de Datos (RGPD)
- Reglamento del Espacio Europeo de Datos Sanitarios (EHDS)
- Data Governance Act
- Data Act
- Reglamento de Inteligencia Artificial (AI Act)
- Directiva NIS2
- Cyber Resilience Act
- Reglamento eIDAS2 sobre identidad digital europea
Este marco busca facilitar el uso seguro de los datos sanitarios, promover la interoperabilidad entre sistemas y garantizar la protección de la información.
Marco regulatorio en España
En España, la aplicación del RGPD se complementa con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Además, el Esquema Nacional de Seguridad (ENS) establece los principios y requisitos mínimos que deben cumplir las administraciones públicas y los proveedores tecnológicos que gestionan sistemas o información en el sector público.
En el ámbito sanitario, el ENS tiene especial relevancia debido al carácter sensible de los datos tratados y a la creciente colaboración público-privada en el desarrollo de soluciones digitales.
Indicadores de madurez en ciberseguridad sanitaria
Para evaluar la seguridad de los sistemas sanitarios digitales se proponen indicadores operativos relacionados con la gestión de incidentes y la seguridad tecnológica.
Entre ellos destacan:
- Tiempo medio de detección de incidentes (MTTD)
- Tiempo medio de recuperación o reparación (MTTR)
- Porcentaje de dispositivos médicos conectados inventariados y actualizados
- Porcentaje de accesos privilegiados revisados periódicamente
- Grado de cumplimiento de estándares como ENS o NIS2
Estos indicadores permiten medir el nivel de madurez de las organizaciones en materia de ciberseguridad.
Retos estructurales del ecosistema de datos sanitarios
El análisis del sector identifica varios desafíos relevantes que afectan a la gestión segura de los datos de salud.
1. Ciberseguridad y resiliencia: El aumento de ataques y la heterogeneidad de infraestructuras sanitarias obligan a desarrollar capacidades técnicas y organizativas para proteger los sistemas y garantizar la continuidad asistencial.
2. Protección de datos personales de salud: La sensibilidad de los datos exige mecanismos robustos de cifrado, control de acceso, anonimización y trazabilidad.
3. Seguridad de la infraestructura digital sanitaria: La integración de dispositivos médicos conectados y sistemas clínicos genera nuevos puntos de exposición que deben gestionarse adecuadamente.
4. Gobernanza del dato: La seguridad depende también de estructuras organizativas que permitan supervisar el uso de los datos, auditar accesos y definir responsabilidades claras.
5. Fragmentación de la información sanitaria: La existencia de múltiples sistemas y silos de datos dificulta el acceso a la información para investigación o innovación.
6. Uso secundario de datos: El intercambio de información sanitaria con fines de investigación o innovación introduce nuevos retos de seguridad y control.
7. Complejidad regulatoria: La coexistencia de diferentes normativas europeas puede generar dificultades para las organizaciones en la aplicación práctica de los requisitos.
8. Inteligencia artificial: La incorporación de IA en el entorno sanitario introduce retos relacionados con la trazabilidad de datasets, la calidad de los modelos y la gestión de riesgos.
9. Cifrado post-cuántico: La evolución futura de la computación cuántica podría comprometer los sistemas criptográficos actuales, lo que requiere planificar estrategias de transición hacia nuevos algoritmos de seguridad.
Un ecosistema basado en confianza, seguridad y gobernanza del dato
El desarrollo del ecosistema digital sanitario europeo requiere combinar innovación tecnológica con mecanismos sólidos de seguridad, interoperabilidad y cumplimiento normativo.
La aplicación de estándares de ciberseguridad, la adopción de modelos de gobernanza del dato y la coordinación entre sector público y privado serán elementos clave para garantizar un uso seguro de la información sanitaria en los próximos años.