El sector de la salud lleva 12 años consecutivos siendo el más costoso respecto al robo de información y su ciberseguridad. Su brecha de datos cuesta en promedio $7.42 millones de dólares, casi el doble del promedio global que asciende a $4.88 millones de dólares, advirtió Delta Protect, el Centro de Comando de Ciberseguridad impulsado por IA, con motivo del Día Mundial de la Salud, que se celebra cada 7 de abril.
Estos datos que arroja el estudio Cost of a Data Breach Report 2025 (Reporte del Costos de la Brecha de Datos) de IBM, también demuestran que el costo de la brecha de datos en el sector salud está por encima del financiero ($5.56 millones), industrial ($5.00 millones) o energía ($4.83 millones).
Además, el sector de la salud es el más lento para cubrir la brecha de datos después de ser atacado, al tener en promedio 279 días (casi 9 meses) sus datos expuestos, es decir más de cinco semanas por encima de la media global.
“Estos números son el reflejo de una industria que históricamente ha priorizado la operación sobre la seguridad, postura cuyas consecuencias ya se miden en millones”, aseguró Antonio Arellano, Co-CEO de Delta Protect.
“El sector salud es altamente vulnerable porque los hospitales no pueden apagar sus sistemas mientras atienden pacientes. Los atacantes lo saben, y diseñan sus ataques para ejercer presión, además porque un expediente médico vale hasta 50 veces más que una tarjeta de crédito en el mercado negro, ya que pueden obtener datos de identidad de cada persona, su historial clínico e información de sus seguros, todo en un solo archivo”, explicó el también cofundador de la empresa de ciberseguridad.
La situación se vuelve crítica cuando hay un secuestro de sus líneas de energía, o bien, al interferir en algún equipo para operar personas a distancia, dificultando así los procesos y procedimientos de los hospitales, que costarían la vida de los pacientes, comentó el directivo.
Esto, ante un contexto en que la Organización Mundial de la Salud (OMS) celebra el Día Mundial de la Salud para generar conciencia y promover una cobertura sanitaria global, garantizando que toda persona acceda a profesionales capacitados, tratamientos seguros y medicamentos esenciales, mediante políticas públicas eficaces y buscando garantizar una gestión gubernamental basada en datos reales y seguros.
–
Ciberataques a hospitales, una vieja historia
En agosto de 2014, la empresa Community Health Systems, que contaba con 206 hospitales en 29 estados de la unión americana, reportó la sustracción de datos de 4.5 millones de pacientes. Un artículo del JAMA Health Forum, alojado en el PudMed Central de Estados Unidos, asegura que de enero de 2016 a diciembre de 2021 en ese país se expuso información confidencial de casi 42 millones de pacientes.
En 2017, un ataque del ransomware WannaCry infectó 16 centros de salud y hospitales del Reino Unido, y en 2019 el secuestro y robo de datos a instituciones de salud en Estados Unidos significó un costó aproximado de $4 mil millones de dólares.
En España, en el Hospital Clínic de Barcelona (2023-2025), el grupo Ransom House secuestró información y filtró múltiples paquetes de datos tras la negativa a pagar un rescate. El ataque obligó a suspender más de 150 cirugías y 3 mil consultas externas, recordó Delta Protect.
México, escaladas constantes
En 2025, un hospital privado de México reportó la venta de datos personales de aproximadamente 400 mil pacientes en foros clandestinos tras una vulneración de sus sistemas, mientras que el Hospital Civil de Guadalajara sufrió un hackeo parcial que expuso información académica y de enseñanza.
El caso más sonado fue el del IMSS Bienestar, de donde se extrajeron 1.8 terabytes de información, que afecta a 3 millones 151 mil 611 personas. En este caso, la filtración consistió en la sustracción de bases de datos SQL, con más de 24 bases internas y 494 mil 311 líneas de registros. Durante 2025, esta institución fue hackeada en tres ocasiones, y en una de ellas se robaron 56 millones de registros de derechohabientes que ahora están a la venta en la deepweb.
“En un hospital siempre hay urgencias de todo tipo y en todo momento, cuando su sistema cae, no hay opción de esperar y los hospitales pagan el rescate, costando millones de dólares de forma constante. La pregunta para los líderes del sector no es si van a ser atacados, es si van a estar listos cuando pase”, expuso Santiago Fuentes, Co CEO de Delta Protect.
