Los centros sanitarios públicos de Cataluña refuerzan su defensa frente a los ciberataques

Hoy por hoy, gran parte del funcionamiento del sistema sanitario depende de redes digitales: historial clínico, pruebas diagnósticas, prescripciones, informes médicos y coordinación entre profesionales se gestionan mediante sistemas informáticos interconectados. En ese contexto, la ciberseguridad deja de ser una opción para convertirse en una condición imprescindible para que el servicio público de salud funcione con normalidad y confianza.

El impacto de los ciberataques sobre el ámbito sanitario ya ha demostrado su poder disruptivo. Según datos internos de la Agencia de Ciberseguridad de Cataluña, en 2024 se detectaron más de 6.900 millones de ataques en la región, de los cuales 1.250 millones estaban dirigidos al sector salud. A nivel global la tendencia acompaña: el informe de Check Point señala que los ciberdelitos sanitarios aumentaron un 47 % en 2024 frente al año anterior, con una media de 2.210 ataques semanales.

Frente a esta realidad, el Gobierno catalán ha decidido ampliar el Modelo de Ciberseguridad del Sistema Sanitario Integral de Utilización Pública (SISCAT), extendiéndolo ahora también a entidades sociosanitarias y de salud mental. Este modelo ya comenzó a desplegarse en el ámbito hospitalario, y en 2023 la Agencia de Ciberseguridad de Cataluña junto con el Departamento de Salud aceleraron su implantación con el objetivo de fortalecer la resiliencia digital del conjunto del sistema.

La financiación de esta expansión proviene en parte de los fondos europeos RETECH, dentro del Plan de Recuperación, Transformación y Resiliencia, con el apoyo del INCIBE. Se prevé que el despliegue dure aproximadamente un año, tras el cual la continuación del proyecto será asumida con fondos públicos hasta 2027.

El Modelo opera en cinco fases:

1. Diagnóstico: identificación de vulnerabilidades y grado de exposición.
2. Plan de seguridad: definición de medidas concretas, actualizaciones y formación.
3. Integración operativa con la Agencia de Ciberseguridad, con sensores activos 24 horas.
4. Servicios recurrentes: pruebas de penetración, simulacros, revisiones constantes.
5. Certificación en el Esquema Nacional de Seguridad, que valida el nivel de madurez alcanzado.

Los resultados de 2024 fueron prometedores: mayor visibilidad de las entidades, detección ampliada de ataques y, lo más importante, ningún incidente relevante que afectara los servicios asistenciales.

El Modelo se está desplegando ya en hospitales, y durante 2025 y 2026 se extenderá también a salud mental, atención primaria y entornos sociosanitarios. La protección contínua contempla monitorización constante, simulacros y revisión periódica de vulnerabilidades.

Los datos clínicos y personales de los pacientes tienen un valor enorme para los ciberdelincuentes, que frecuentemente utilizan ransomware y otras técnicas para obtener beneficios económicos. Por eso la ciberseguridad debe funcionar no como un parche, sino como una cultura organizativa viva, con coordinación entre entidades, detección temprana de anomalías y capacidad de recuperación rápida ante incidencias.

Un sistema sanitario que confía en su protección digital puede funcionar con mayor estabilidad, permite a los profesionales centrarse en su misión sin interrupciones y ofrece a la ciudadanía la garantía de que su información está segura. En ese sentido, la ciberseguridad se integra como una capa esencial de calidad asistencial.

Mirando al futuro, nos enfrentamos al reto de mantener esta cultura digital en evolución constante: los ataques evolucionan, y solo un sistema flexible, colaborativo y adaptativo podrá sostenerse. No basta con desplegar tecnologías: es fundamental formar al personal, compartir conocimiento entre entidades, sensibilizar a la sociedad y mantener protocolos sólidos de respuesta y recuperación. Lo digital ya es parte del sistema de salud, y su protección es tan vital como la atención misma.