El sector de la salud lleva 12 años consecutivos siendo el más costoso respecto al robo de información y su ciberseguridad. Su brecha de datos cuesta en promedio $7.42 millones de dólares, casi el doble del promedio global que asciende a $4.88 millones de dólares, advirtió Delta Protect, el Centro de Comando de Ciberseguridad impulsado por IA, con motivo del Día Mundial de la Salud, que se celebra cada 7 de abril.
Estos datos que arroja el estudio Cost of a Data Breach Report 2025 de IBM, también demuestran que el costo de la brecha de datos en el sector salud está por encima del financiero ($5.56 millones), industrial ($5.00 millones) o energía ($4.83 millones). Además, el sector de la salud es el más lento para cubrir la brecha de datos después de ser atacado, al tener en promedio 279 días sus datos expuestos, es decir más de cinco semanas por encima de la media global.
Vulnerabilidades críticas en sistemas hospitalarios
“Estos números son el reflejo de una industria que históricamente ha priorizado la operación sobre la seguridad, postura cuyas consecuencias ya se miden en millones”, aseguró Antonio Arellano, Co-CEO de Delta Protect.
El sector salud es altamente vulnerable porque los hospitales no pueden apagar sus sistemas mientras atienden pacientes. Los atacantes lo saben, y diseñan sus ataques para ejercer presión, además porque un expediente médico vale hasta 50 veces más que una tarjeta de crédito en el mercado negro, ya que pueden obtener datos de identidad de cada persona, su historial clínico e información de sus seguros, todo en un solo archivo.
Historial de ataques y consecuencias globales
La situación se vuelve crítica cuando hay un secuestro de sus líneas de energía, o bien, al interferir en algún equipo para operar personas a distancia, dificultando así los procesos y procedimientos de los hospitales, que costarían la vida de los pacientes, comentó el directivo. Esto, ante un contexto en que la Organización Mundial de la Salud (OMS) celebra el Día Mundial de la Salud para generar conciencia y promover una cobertura sanitaria global, garantizando que toda persona acceda a profesionales capacitados, tratamientos seguros y medicamentos esenciales.
En agosto de 2014, la empresa Community Health Systems, que contaba con 206 hospitales en 29 estados de la unión americana, reportó la sustracción de datos de 4.5 millones de pacientes. Un artículo del JAMA Health Forum asegura que de enero de 2016 a diciembre de 2021 en ese país se expuso información confidencial de casi 42 millones de personas.
Panorama actual y riesgos en México
En 2017, un ataque del ransomware WannaCry infectó 16 centros de salud y hospitales del Reino Unido, y en 2019 el secuestro y robo de datos a instituciones de salud en Estados Unidos significó un costo aproximado de $4 mil millones de dólares. En España, en el Hospital Clínic de Barcelona (2023-2025), el grupo Ransom House secuestró información y filtró múltiples paquetes de datos tras la negativa a pagar un rescate.
El caso más sonado en México fue el del IMSS Bienestar, de donde se extrajeron 1.8 terabytes de información, que afecta a más de 3 millones de personas. Durante 2025, esta institución fue hackeada en tres ocasiones, y en una de ellas se robaron 56 millones de registros de derechohabientes que ahora están a la venta en la deepweb.
