El coste de un ciberataque en el sector sanitario español: entre 94.000 y 470.000 euros por recuperar los datos
Más de 600 hospitales españoles sufrieron un ataque cibernético en 2022.
23 septiembre, 2023 02:41El pasado mes de marzo, el Hospital Clínic de Barcelona sufrió un ciberataque que obligó al centro a suspender cirugías y citas. Este es uno de los muchos que padece el sector sanitario español. Según las estimaciones de Claroty, más de 600 hospitales nacionales soportaron ciberataques durante 2022. Una cifra que se multiplica por 15 si se tienen en cuenta todos los tipos de centros sanitarios.
Estos ataques tienen un coste económico para las organizaciones. De acuerdo con los datos facilitados a EL ESPAÑOL-Invertia por la empresa de protección de sistemas de ciberseguridad online y físicos, está entre los 94.000 y 470.000 euros.
Según el informe 'Global Healthcare Cybersecurity 2023' de Claroty, este es el coste financiero en el que incurren las organizaciones sanitarias que reciben un ciberataque por rescatar la información, restaurar la operativa y volver a la normalidad.
[Aumenta la inversión en ciberseguridad de las empresas españolas, pero sigue sin ser suficiente]
El análisis de Claroty recoge que el 46,67% de las organizaciones sanitarias que recibieron un ciberataque reconoce que los sistemas tecnológicos se vieron afectados. Y el 33,33% asegura que datos sensibles se vieron amenazados.
En el caso del Clínic de Barcelona, los ciberatacantes sustrajeron datos del hospital que, posteriormente, filtraron. Entre la información publicada había historiales de pacientes, resultados de pruebas diagnósticas, contratos y datos personales de trabajadores, entre otros.
Volviendo a los datos del informe mencionado, el 40% de los centros sanitarios afirmó que los dispositivos médicos, como las resonancias magnéticas o las bombas de infusión, se vieron afectados por el ciberataque.
Y hay más. Más de un tercio (33%) ha afirmado que la calidad de la atención al paciente se vio afectada. En conversación con José Antonio Sánchez Ahumada, director de ventas para España y Portugal de Claroty, ha señalado que "en algunas ocasiones el personal del propio centro no ha sido consciente del ciberataque". Esta situación "es lo más peligroso, el no tener la visibilidad ni la información al respecto", ha añadido.
Los ciberataques más habituales en el sector sanitario tienen como objetivo el robo de información. Pero no es el único. Sánchez Ahumada ha explicado a este periódico que hay ataques que van "contra lo que se conoce como el building management (aire acondicionado, sistemas del edificio)".
"Si la temperatura no es la correcta, puede que una prueba u operación no pueda realizarse y tenga que posponerse, lo que impacta directamente en los pacientes", ha advertido. De hecho, "hay pacientes que se ven perjudicados e incluso llegan a perder la vida. Se retrasan tratamientos o pruebas que son vitales para ellos".
[Vacunas contra la Covid-19 a 825 euros: el timo de la 'deep web' en medio de la pandemia]
Asimismo, el experto de Claroty ha detallado que los ciberataques se dan "tanto en centros públicos como privados". De hecho, ha reconocido que "cualquier tipo de centro es objetivo".
Y pueden darse por dos motivos: "A veces el objetivo es lucrarse mediante el robo de información pidiendo posteriormente un rescate (son los más habituales) y otros ataques se dirigen a una persona o centro en concreto".
Normativa europea
Los continuos y crecientes ciberataques, que no sólo afectan al sector sanitario, han llevado a la Unión Europea a elaborar una normativa que incluya medidas legales con el objetivo de aumentar el nivel general de ciberseguridad. Se trata de la Directiva NIS2.
"Entrará en vigor en octubre de 2024 e incluye una serie de reglas, requisitos y sanciones", ha explicado Sánchez Ahumada a EL ESPAÑOL-Invertia. Las empresas que no se adecúen a esta normativa podrán ser sancionadas con multas de hasta 10 millones de euros.
La Directiva NIS2 será de obligado cumplimiento para empresas de más de 250 empleados y con un volumen de facturación anual de 50 millones de euros o más.
Mientras se traspone esta directiva europea, en el sector sanitario ya trabajan para protegerse de los ciberataques. Según el informe de Claroty, el 70% de las organizaciones han aumentado su presupuesto en seguridad en el último año.