Durante 12 años consecutivos la ciberseguridad en el sector salud se ha consolidado como la más costosa dentro de todas las industrias. El motivo es bastante simple: la información confidencial de los pacientes es uno de los principales objetivos de los hackers. Por lo mismo, de manera permanente los hospitales hacen inversiones millonarias para mantenerse protegidos.
En la era de la salud digital, un expediente clínico ya no es un papel en un archivero, sino un activo crítico que circula por redes globales. Hoy la ciberseguridad ha dejado de ser un problema técnico de sistemas para convertirse en un pilar de la ética médica y la seguridad del paciente.
¿Cuánto cuesta la ciberseguridad en el sector de la salud?
La ciberseguridad en el sector salud mundial cuesta, en promedio, 7.42 millones de dólares. La cifra equivale a casi el doble del promedio global que asciende a 4.88 millones de dólares, advirtió Delta Protect, el Centro de Comando de Ciberseguridad impulsado por inteligencia artificial (IA).
Estos datos que arroja el estudio Cost of a Data Breach Report 2025 de IBM, también demuestran que el costo de la brecha de datos en el sector salud está por encima del financiero ($5.56 millones), industrial ($5.00 millones) o energía ($4.83 millones).
Además, el sector de la salud es el más lento para cubrir la brecha de datos después de ser atacado, al tener en promedio 279 días (casi 9 meses) sus datos expuestos, es decir más de cinco semanas por encima de la media global.
“El sector salud es altamente vulnerable porque los hospitales no pueden apagar sus sistemas mientras atienden pacientes. Los atacantes lo saben, y diseñan sus ataques para ejercer presión, además porque un expediente médico vale hasta 50 veces más que una tarjeta de crédito en el mercado negro, ya que pueden obtener datos de identidad de cada persona, su historial clínico e información de sus seguros, todo en un solo archivo”, aseguró Antonio Arellano, Co-CEO de Delta Protect.
La situación se vuelve crítica cuando hay un secuestro de sus líneas de energía, o bien, al interferir en algún equipo para operar personas a distancia, dificultando así los procesos y procedimientos de los hospitales, que costarían la vida de los pacientes, comentó el directivo.
Ciberataques a hospitales, una vieja historia
En agosto de 2014, la empresa Community Health Systems, que contaba con 206 hospitales en 29 estados de la unión americana, reportó la sustracción de datos de 4.5 millones de pacientes.
Un artículo del JAMA Health Forum, alojado en el PudMed Central de Estados Unidos, asegura que de enero de 2016 a diciembre de 2021 en ese país se expuso información confidencial de casi 42 millones de pacientes.
En 2017, un ataque del ransomware WannaCry infectó 16 centros de salud y hospitales del Reino Unido, y en 2019 el secuestro y robo de datos a instituciones de salud en Estados Unidos significó un costó aproximado de 4 mil millones de dólares.
En España, en el Hospital Clínic de Barcelona (2023-2025), el grupo Ransom House secuestró información y filtró múltiples paquetes de datos tras la negativa a pagar un rescate. El ataque obligó a suspender más de 150 cirugías y 3 mil consultas externas, recordó Delta Protect.
Robos de información en hospitales de México
La ciberseguridad en el sector de la salud en México no es ajena. En 2025 un hospital privado de México reportó la venta de datos personales de aproximadamente 400 mil pacientes en foros clandestinos tras una vulneración de sus sistemas, mientras que el Hospital Civil de Guadalajara sufrió un hackeo parcial que expuso información académica y de enseñanza.
El caso más sonado fue el del IMSS Bienestar, de donde se extrajeron 1.8 terabytes de información, que afecta a 3 millones 151 mil 611 personas. En este caso, la filtración consistió en la sustracción de bases de datos SQL, con más de 24 bases internas y 494 mil 311 líneas de registros. Durante 2025, esta institución fue hackeada en tres ocasiones, y en una de ellas se robaron 56 millones de registros de derechohabientes que ahora están a la venta en la deepweb.
