“Existen soluciones de detección pasiva, técnicas no intrusivas y monitorización basada en IA que permiten proteger sin afectar la operación médica”

La digitalización de la sanidad europea es un avance imparable y necesario, pero también un desafío de seguridad y resiliencia sin precedentes. Los hospitales ya no son solo centros asistenciales: son ecosistemas digitales interconectados donde convergen información clínica, tecnología médica, infraestructuras críticas e inteligencia artificial.

Y esa interconexión, si no se protege con el mismo rigor con el que se protege la vida de un paciente, puede convertirse en el punto más vulnerable del sistema. Hablamos de todo ello con Rafael Rosell, Chief Revenue Officer de S2GRUPO, compañía de referencia en Europa y Latinoamérica en ciberseguridad, ciberinteligencia y operaciones de sistemas de misión crítica.

En los últimos años los hospitales se han convertido en uno de los principales objetivos de los ciberdelincuentes. ¿Por qué el sector sanitario resulta tan atractivo para los atacantes y qué tipo de motivaciones suelen tener?

El sector sanitario combina tres elementos que lo convierten en un objetivo prioritario: la criticidad de sus servicios, el valor y sensibilidad de los datos que maneja y la heterogeneidad de su infraestructura tecnológica.

Un hospital no puede detener su actividad, lo que significa que cualquier ataque que comprometa la disponibilidad, por ejemplo, un ransomware, tiene un impacto inmediato sobre la atención a los pacientes y genera una enorme presión para pagar rescates o restaurar la operatividad con urgencia.

Además, la información clínica tiene un alto valor económico, operativo y de inteligencia. Los historiales médicos, identidades de pacientes o resultados de laboratorio se comercializan en la dark web a precios muy superiores a los de otros datos personales. A esto se suma que los entornos hospitalarios son complejos: conviven sistemas IT corporativos, dispositivos médicos conectados (IoMT) y redes OT hospitalarias, a menudo con equipamiento antiguo o mal segmentado.

En S2GRUPO observamos que los atacantes combinan motivaciones económicas, extorsión o venta de datos, con otras de carácter estratégico o ideológico, especialmente en contextos geopolíticos tensos. El resultado es que la ciberseguridad sanitaria ha pasado a convertirse en un asunto de seguridad nacional, además de tecnológica.

“Muchos equipos médicos utilizan protocolos inseguros o sin cifrar, o sistemas operativos sin soporte, lo que facilita su explotación”

Cada vez más dispositivos médicos están conectados a la red, desde monitores de constantes vitales hasta bombas de infusión. ¿Qué nivel de riesgo supone esta hiperconectividad y qué vulnerabilidades son las más críticas?

La hiperconectividad en los hospitales ha transformado la atención médica, pero también ha ampliado de forma exponencial la superficie de ataque. Cada nuevo dispositivo conectado, ya sea un respirador, una bomba de infusión o un monitor de constantes vitales, se convierte en un potencial punto de entrada para un atacante si no está adecuadamente protegido, segmentado o gestionado.

Los riesgos más críticos no provienen únicamente del fallo técnico, sino de la interdependencia entre sistemas IT y OT sanitarios. Muchos equipos médicos utilizan protocolos inseguros o sin cifrar, o sistemas operativos sin soporte, lo que facilita su explotación. Además, el acceso remoto para mantenimiento, si no está correctamente controlado, introduce vectores de intrusión adicionales.

Desde nuestra experiencia en S2GRUPO, uno de los errores más comunes es tratar estos dispositivos como elementos independientes, cuando en realidad forman parte de una red hospitalaria compleja e interconectada. La clave está en disponer de visibilidad completa del inventario IoMT, segmentar las redes médicas respecto al resto del entorno IT y aplicar políticas de autenticación robusta y monitorización continua.

En definitiva, la seguridad debe concebirse desde la propia arquitectura clínica, no añadirse después como una capa más. Solo así puede garantizarse que la tecnología sanitaria sea un apoyo a la salud del paciente, y no una vulnerabilidad potencial.

“Lo importante es entender que no hablamos de escenarios hipotéticos de ciencia ficción, sino de situaciones técnicamente posibles”

En sus simulaciones, ustedes han demostrado que un ciberataque podría alterar los monitores de una UCI o incluso manipular la administración de medicamentos. ¿Qué probabilidades reales existen de que esto ocurra hoy en un hospital español?

El riesgo es técnicamente real y comprobable, aunque el grado de probabilidad depende del nivel de madurez en ciberseguridad de cada centro. En nuestros ejercicios de simulación, que reproducen entornos hospitalarios reales con infraestructuras mixtas IT, OT y dispositivos médicos conectados, hemos demostrado que una intrusión bien planificada puede interferir en los sistemas de monitorización o dispensación automatizada, especialmente cuando no existen medidas de segmentación ni control de accesos adecuados.

En la práctica, la mayoría de los hospitales españoles están avanzando notablemente en sus estrategias de protección. En los últimos años, tanto los servicios de salud autonómicos como las direcciones de sistemas han impulsado planes de ciberseguridad sectoriales, adoptando el Esquema Nacional de Seguridad (ENS), reforzando la gestión de vulnerabilidades e incorporando monitorización continua de redes clínicas y dispositivos conectados. Sin embargo, aún hay brechas significativas: muchos dispositivos siguen operando con sistemas sin soporte, contraseñas por defecto o sin supervisión activa del tráfico entre redes médicas y corporativas.

Lo importante es entender que no hablamos de escenarios hipotéticos de ciencia ficción, sino de situaciones técnicamente posibles que ya se han observado en otros países europeos y en EE. UU. Precisamente por eso realizamos simulaciones controladas y ejercicios de red teaming especializados en entornos hospitalarios: para anticipar los vectores de ataque antes de que lo hagan los adversarios y para fortalecer los protocolos de detección, respuesta y recuperación de los hospitales.

Muchos centros sanitarios gestionan datos extremadamente sensibles. ¿Cómo debe estructurarse la protección de la información clínica para evitar accesos no autorizados o su uso indebido?

La información es uno de los activos más valiosos de un hospital: combina datos personales muy sensibles de sus pacientes (diagnósticos, historiales médicos, información genética, biométrica, etc.) con resultados de laboratorio e investigación. Su protección exige un enfoque integral que abarque todo el ciclo de vida del dato, desde su obtención y procesamiento hasta su almacenamiento, intercambio y eliminación segura.

En primer lugar, deben existir unos criterios claros para la clasificación de la información según su nivel de sensibilidad y criticidad. No todos los datos requieren el mismo grado de protección, pero todos deben estar bajo un modelo de control de acceso basado en el principio de mínimo privilegio y en la necesidad de conocer (need to know).

En segundo lugar, la segmentación, el cifrado y la autenticación segura (basada en mecanismos multi factor) son esenciales. Los sistemas que contienen información clínica deben estar aislados de las redes administrativas y proteger las comunicaciones mediante protocolos cifrados y certificados actualizados. Igualmente, es importante la trazabilidad completa de los accesos: saber quién accede, desde dónde y con qué propósito.

“Promovemos un modelo de protección que combina ciberseguridad, cumplimiento normativo, gobernanza y ética del dato”

Desde S2GRUPO promovemos un modelo de protección que combina ciberseguridad, cumplimiento normativo, gobernanza y ética del dato. La tecnología por sí sola no basta; debe ir acompañada de procesos que garanticen su utilización segura, de auditorías y revisiones periódicas, y de formación y concienciación del personal sanitario y técnico que maneja esta información en el día a día. De esta forma garantizamos que la información médica se utiliza exclusivamente para el fin para el que fue recogida y atendiendo a la normativa vigente, poniendo siempre en el centro la seguridad y el derecho a la intimidad de los pacientes.

La ciberseguridad hospitalaria no depende solo de la tecnología, sino también de las personas. ¿Qué papel juega la formación del personal médico y administrativo para evitar que una intrusión acabe en un incidente grave?

El factor humano sigue siendo la primera línea de defensa y, a la vez, el principal punto de vulnerabilidad. Diversos estudios, incluidos los de ENISA e IBM, coinciden en que entre el 70 y el 80 % de los incidentes de seguridad tienen origen humano. Nuestra experiencia en entornos hospitalarios confirma esa tendencia. La formación y la analítica de comportamiento pueden reducir drásticamente este tipo de vulnerabilidades. En un hospital, una acción aparentemente inofensiva, como abrir un archivo malicioso, puede tener consecuencias críticas sobre la disponibilidad de los sistemas.

Por eso, en S2GRUPO trabajamos con un enfoque integral que combina tecnología, procesos, cultura organizativa y concienciación. Diseñamos programas de formación adaptados al contexto sanitario real, que incluyen simulaciones de ataques, ejercicios de respuesta ante incidentes y contenidos diferenciados para perfiles médicos, técnicos y de gestión. Del mismo modo, los equipos de seguridad deben colaborar estrechamente con el personal clínico, diseñando controles que protejan sin obstaculizar la labor asistencial.

El objetivo no es convertir a los profesionales sanitarios en expertos en ciberseguridad, sino en usuarios conscientes del impacto que sus acciones pueden tener sobre la seguridad del paciente y la continuidad asistencial. Cuando la cultura de seguridad se interioriza, los hospitales no solo reducen drásticamente su exposición, sino que reaccionan con mayor rapidez y coordinación ante cualquier intento de intrusión.

En su experiencia, ¿cuáles son los errores más comunes que cometen los hospitales y centros de salud en materia de ciberseguridad?

El error más frecuente es abordar la ciberseguridad como un proyecto cerrado y no como un proceso continuo de mejora y adaptación. En entornos hospitalarios, esto se traduce en tres fallos estructurales:

1. Falta de inventario y visibilidad en tiempo real de los activos conectados, especialmente de los dispositivos médicos IoMT y sistemas OT, lo que dificulta la detección de anomalías o equipos comprometidos.
2. Escasa segmentación y aislamiento entre redes clínicas, redes corporativas y entornos de soporte técnico, lo que permite movimientos laterales y escaladas de privilegios de un dominio a otro.
3. Ausencia de planes y ejercicios regulares de respuesta y recuperación ante incidentes, lo que provoca que, en caso de ataque, los tiempos de contención y restablecimiento sean excesivos.

“Persiste la creencia de que los entornos clínicos no pueden ser auditados o monitorizados por miedo a interrumpir el servicio”

También persiste la creencia de que los entornos clínicos no pueden ser auditados o monitorizados por miedo a interrumpir el servicio. Sin embargo, existen soluciones de detección pasiva, técnicas no intrusivas y monitorización basada en IA que permiten proteger sin afectar la operación médica ni a los flujos asistenciales.

En definitiva, el mayor error es no anticiparse. La ciberseguridad sanitaria debe planificarse con la misma rigurosidad con la que se gestionan los riesgos clínicos: con protocolos claros, entrenamiento periódico, evaluación continua y colaboración entre personal técnico y sanitario.

S2GRUPO colabora habitualmente con administraciones públicas y servicios de salud. ¿Qué grado de preparación tienen actualmente las instituciones sanitarias españolas frente a un ataque de ransomware o sabotaje digital?

En los últimos años se ha producido un salto cualitativo y organizativo importante. La mayoría de los servicios de salud autonómicos cuentan ya con un responsable de ciberseguridad (CISO sanitario), equipos especializados y planes de contingencia y continuidad operativa. La aplicación del Esquema Nacional de Seguridad y la alineación con la directiva NIS2 están impulsando una profesionalización real y homogénea en la gestión del riesgo digital en el ámbito sanitario.

Sin embargo, la preparación sigue siendo desigual entre comunidades, hospitales y niveles asistenciales. Algunos centros han avanzado hacia modelos SOC (Security Operations Center) con monitorización continua, correlación de alertas y detección basada en inteligencia artificial, mientras que otros mantienen una cobertura más reactiva, centrada principalmente en el cumplimiento normativo y en la respuesta frente a incidentes.

“Ayudamos a instituciones a fortalecer su resiliencia a través de simulaciones de ransomware, auditorías de red, ejercicios de red teaming y planes de respuesta específicos”

Desde S2GRUPO estamos ayudando a numerosas instituciones a fortalecer su resiliencia a través de simulaciones de ransomware, auditorías de red, ejercicios de red teaming y planes de respuesta específicos para entornos sanitarios, integrando tanto los sistemas IT administrativos como los OT e IoTM clínicos.

 El desafío no es solo resistir un ataque, sino mantener la continuidad asistencial y la seguridad del paciente incluso en condiciones adversas. Esa es la verdadera medida de madurez y resiliencia en ciberseguridad hospitalaria.

Desde su laboratorio en Valencia realizan simulacros de ciberataques. ¿Qué tipo de pruebas llevan a cabo y cómo ayudan a los hospitales a mejorar sus protocolos de respuesta?

En nuestro laboratorio de Valencia reproducimos entornos hospitalarios reales, incluyendo redes IT corporativas, sistemas OT clínicos y dispositivos médicos conectados, para evaluar cómo un ataque podría propagarse y escalar privilegios en condiciones controladas.

Estos ejercicios permiten a los equipos técnicos, de seguridad y directivos entrenar su capacidad de detección, contención y recuperación, igual que un simulacro clínico prepara a los sanitarios ante una emergencia médica.

Realizamos principalmente tres tipos de pruebas:

• Simulaciones de intrusión controlada (red teaming hospitalario), que evalúan la resistencia de la infraestructura y la detección por parte del SOC ante un atacante con conocimiento parcial o completo del entorno.
• Ejercicios de respuesta ante ransomware y sabotaje digital, donde se prueba la capacidad de aislamiento, restauración y comunicación de crisis de sistemas críticos ante un incidente realista.
• Pruebas de segmentación, inventario y visibilidad IoMT, para validar que los dispositivos médicos y sistemas de soporte no expongan vulnerabilidades explotables ni permitan movimientos laterales.

El valor de estos simulacros no es solo técnico: permiten generar conocimiento operativo, actualizar los procedimientos internos y mejorar la coordinación entre los equipos de TI, mantenimiento clínico, ciberseguridad y dirección médica. En definitiva, ayudan a que los hospitales pasen de un enfoque reactivo a un modelo de ciberresiliencia preventiva y entrenada, en el que la respuesta ante incidentes forma parte natural de la cultura organizativa.

¿Qué papel puede jugar la inteligencia artificial —tanto en la detección de amenazas como en la defensa activa— en la protección de infraestructuras críticas como las sanitarias?

La inteligencia artificial (IA) se ha convertido en un elemento esencial en la protección de infraestructuras críticas, y el ámbito sanitario es uno de los que más puede beneficiarse de su aplicación. Permite detectar comportamientos anómalos, correlacionar eventos en tiempo real y automatizar tareas de análisis y respuesta inicial ante ataques. En entornos hospitalarios, donde conviven sistemas IT, OT y dispositivos médicos conectados, esta capacidad es especialmente valiosa para identificar desviaciones en equipos clínicos, accesos no autorizados o movimientos laterales entre redes que podrían comprometer la atención al paciente.

“La IA no sustituye al criterio profesional, sino que lo amplifica y refuerza, siempre que se integre bajo supervisión humana y gobernanza adecuada”

Además, la IA aporta un nuevo nivel de visibilidad operacional: puede analizar grandes volúmenes de registros, tráfico de red y logs de dispositivos para reducir el tiempo medio de detección y priorizar alertas críticas, liberando a los equipos humanos para centrarse en la toma de decisiones estratégicas. En este sentido, la IA no sustituye al criterio profesional, sino que lo amplifica y refuerza, siempre que se integre bajo supervisión humana y gobernanza adecuada.

Sin embargo, la IA también puede ser objeto y vector de ataque. El data poisoning, como advertimos recientemente desde S2GRUPO, consiste en introducir datos manipulados durante el entrenamiento de los modelos, alterando su comportamiento y haciéndolos ineficaces o incluso peligrosos. Este tipo de sabotaje ya se ha observado en herramientas de ciberseguridad basadas en IA, donde un modelo envenenado puede dejar de detectar phishing ransomware o comportamientos anómalos.

Por ello, nuestra aproximación se basa en el concepto de IA Segura y Explicable: modelos auditables, trazables y soberanos, capaces de justificar sus decisiones y cumplir con el AI Act europeo. La IA debe reforzar la defensa sin convertirse en un nuevo vector de vulnerabilidad, integrándose de forma ética, controlada y coordinada con los equipos de seguridad, ingeniería biomédica y dirección médica para acelerar la resiliencia hospitalaria.

La digitalización hospitalaria es imparable: historias clínicas online, telemedicina, dispositivos IoT… ¿Cómo pueden las instituciones avanzar en este proceso sin poner en riesgo la seguridad de los pacientes?

La transformación digital del sector salud es imparable, pero solo será sostenible si se apoya en un modelo de seguridad por diseño y por defecto. Cada proyecto de innovación, desde la historia clínica electrónica hasta la telemonitorización de pacientes, debe incorporar la ciberseguridad y la privacidad desde su concepción, como parte estructural del servicio y no como una capa añadida.

 Para avanzar de forma segura, las instituciones sanitarias deben:

1. Evaluar los riesgos desde la fase de diseño, considerando las interdependencias entre sistemas IT+OT, así como los requisitos de continuidad asistencial.
2. Integrar la seguridad en la gobernanza hospitalaria, asegurando una coordinación efectiva entre dirección médica, TI, ciberseguridad e ingeniería biomédica.
3. Adoptar marcos regulatorios y de buenas prácticas como NIS2, el ENS o ISO 27001, y mantener una auditoría continua del cumplimiento.

El informe Threat Landscape: Sector Industrial y ataques ICS de S2GRUPO muestra cómo los entornos convergentes IT/OT son los más vulnerables cuando la seguridad se implementa de forma fragmentada. En sanidad, esa convergencia es especialmente crítica: un ataque a un servidor administrativo o a un sistema de gestión puede propagarse hasta afectar indirectamente a dispositivos médicos o equipos de soporte vital conectados.

Por ello, la digitalización no debe verse como un riesgo, sino como una oportunidad para fortalecer la resiliencia del sistema sanitario, siempre que se base en infraestructuras seguras, soberanas, auditables y alineadas con los principios de gobernanza y explicabilidad de la IA.

En última instancia, seguridad y digitalización deben avanzar juntas para garantizar que la tecnología siga siendo un refuerzo a la salud del paciente, no una nueva superficie de exposición.

“La sanidad es ya un sector crítico de primer orden y requiere un marco nacional específico”

En un contexto donde los ataques crecen a doble dígito cada año, ¿cree que España necesita una estrategia específica de ciberseguridad sanitaria a nivel nacional?

Sin duda. La sanidad es ya un sector crítico de primer orden y requiere un marco nacional específico que coordine políticas, recursos y capacidades de defensa digital.

Los datos del Informe de Ransomware 2025 de LAB52 confirman que el 12 % de los ataques de ransomware en España durante el último año se dirigieron a hospitales o servicios de salud, un incremento del 40 % respecto al ejercicio anterior. Además, más del 60 % de los incidentes tuvieron origen en vulnerabilidades conocidas o accesos remotos no controlados.

Aunque el Esquema Nacional de Seguridad y la transposición de la Directiva NIS2 marcan un avance, el entorno sanitario necesita un plan nacional específico de ciberseguridad sanitaria que:

• Refuerce la coordinación operativa y estratégica entre el Ministerio de Sanidad, el CCN y los CERT nacionales y autonómicos.
• Impulse la creación de un SOC sanitario de ámbito estatal, capaz de centralizar la detección, correlación de alertas y respuesta ante incidentes.
• Fomente la formación y concienciación del personal clínico, técnico y directivo como parte de la estrategia, integrando la seguridad en la cultura hospitalaria.
• Promueva la soberanía tecnológica y el uso de soluciones auditables y seguras en hospitales públicos y concertados.
• Potencie la colaboración público-privada en proyectos de I+D+i centrados en la ciberresiliencia hospitalaria e inteligencia artificial segura.

España tiene talento, tecnología y capacidades para liderar este ámbito, pero es urgente consolidarlo bajo una estrategia nacional coherente, alineada con las políticas europeas y con una visión que proteja lo más valioso: la salud, la continuidad asistencial y la confianza de los ciudadanos.

Finalmente, ¿qué recomendaciones concretas daría S2GRUPO a los directivos de hospitales y consejerías de salud para reducir su exposición y fortalecer sus sistemas ante posibles ciberataques?

Desde S2GRUPO recomendamos actuar con un enfoque integral, que combine prevención, detección, respuesta y recuperación. Nuestras principales recomendaciones para los responsables del sector salud son:

1. Inventariar y segmentar todos los activos conectados. No se puede proteger lo que no se conoce. Identificar todos los dispositivos IoMT, sistemas OT y entornos administrativos, y establecer zonas de seguridad y niveles de confianza diferenciados, es prioritario.
2. Implantar monitorización continua 24/7, con capacidades de detección basada en inteligencia artificial y correlación de eventos. La detección temprana de comportamientos anómalos reduce drásticamente el impacto de los ataques.
3. Actualizar, parchear y endurecer los sistemas críticos, incluyendo aquellos que tradicionalmente quedan fuera de los ciclos de mantenimiento o dependen de proveedores externos.
4. Formar y concienciar al personal médico, técnico y administrativo mediante programas de capacitación basados en escenarios reales. Un usuario entrenado puede reducir hasta un 80 % el riesgo de incidente, según nuestros análisis de seguridad conductual.
5. Realizar ejercicios periódicos de simulación (ransomware, fuga de datos, sabotaje OT) para validar los planes de contingencia, comunicación y recuperación.
6. Adoptar políticas de IA segura y explicable, garantizando que cualquier herramienta basada en inteligencia artificial utilizada en procesos clínicos o de gestión cumpla con los principios de transparencia, trazabilidad, auditabilidad y protección de datos recogidos en el AI Act europeo.
7. Fomentar la cooperación público-privada para compartir inteligencia de amenazas, recursos de defensa y mejores prácticas de seguridad aplicadas al entorno hospitalario.

El mensaje final es claro: la ciberseguridad hospitalaria no es solo un reto tecnológico, sino un compromiso ético y organizativo con la seguridad de los pacientes. La anticipación, la formación y la colaboración son los pilares de una protección efectiva y sostenible para el sistema sanitario.