La medicina se digitaliza, pero también se convierte en blanco. Hospitales y laboratorios ya no enfrentan solo enfermedades, sino ciberataques diseñados con precisión quirúrgica. Juan Pablo Castillo Cubillo, CEO de Quantum Babylon y alumni del Máster Profesional de Analista de Inteligencia de LISA Institute, analiza este nuevo campo de batalla sin batas ni bisturíes, pero que deja cicatrices igual de profundas.
No rompen ventanas, pero vacían bancos de oro biomédico con renovadas estrategias. Los nuevos cibermercenarios no asaltan hospitales. Sin embargo, saquean su futuro. Aun así, la amenaza suele auto-silenciarse por miedo a devaluar el prestigio o por razones de seguridad.
Operando en silencio, han cambiado secuestrar historiales clínicos por proyectos estratégicos (vacunas en desarrollo, algoritmos de inteligencia artificial oncológica, patentes genéticas) que cotizan hasta 20 millones de dólares en mercados oscuros (Europol, 2023). Su objetivo ya no es el rescate rápido, sino robar ventajas competitivas para estados y corporaciones.
➡️ Te puede interesar: Gobernanza del riesgo sanitario y anticipación estratégica en un entorno de incertidumbre sistémica
Lo que Kevin Mitnick inició con ingeniería social en los 80´y 90´ hoy es una industria oscura hiperespecializada. Los herederos del ‘hacker fantasma’ no buscan notoriedad, sino rentabilidad estratégica. Ya no son «usuarios», sino arquitectos de sabotaje: infiltrándose por meses en redes hospitalarias para extraer lo que realmente importa; la medicina del mañana.
De cibercriminales solitarios a cybercarteles organizados
La figura romántica del hacker solitario ha mutado en estructuras mafiosas digitales que a veces solo parecen factibles si han sido impulsadas por algún estado. Hoy operan cybercarteles con divisiones especializadas, desde desarrolladores de malware hasta negociadores de rescates.
Su arma más disruptiva es el Ransomware-as-a-Service (RaaS). Se trata de un modelo de crimen tipo franquicia, donde grupos como LockBit 3.0 o Conti alquilan kits de ataque a afiliados por una cantidad ínfima en comparación con el botín. Además, se quedan con un porcentaje de las extorsiones.
¿Por qué RaaS cambió todo? El negocio del terror sanitario
1. Democratización del crimen: de élites a mercenarios digitales
El RaaS es el gran ecualizador criminal. Ya convierte a cualquier persona con una cantidad moderada de dinero y ansias de venganza en una amenaza letal para entidades sanitarias. Grupos como LockBit 3.0 o BlackCat lo demuestran.
El resultado es una explosión de ataques. Hace un lustro, un cibercriminal avanzado atacaba dos o tres hospitales al año. Hoy, un afiliado RaaS (que puede conseguir lo necesario a través de canales específicos) es capaz de paralizar una cifra ingente de centros sanitarios por semana. El salto cualitativo y cuantitativo es exponencial, y no hay vuelta atrás.
2. Ciclo de destrucción en salud
Un ataque RaaS no se limita al cifrado de datos. Es una cadena de devastación estratégicamente pensada. El modelo sigue una lógica industrial y está diseñado para ser lo más productivo posible dentro de su objetivo. Este ciclo ajustado transforma cada ataque exitoso en un arma mejorada contra el siguiente hospital.:
- Infección: Explotan fallos en dispositivos IoT médicos (respiradores, monitores cardíacos).
- Exfiltración: Roban IP médica (patentes, ensayos) + historiales clínicos.
- Doble extorsión: Piden rescate por no cifrar + amenazan con vender los datos.
- Reinversión: El cártel madre usa las ganancias para desarrollar malware más agresivo.
El RaaS no es un modelo criminal, es la uberización del terror sanitario. Ha creado un ejército de mercenarios sin rostro. El peor enemigo de un hospital ya no es un cibercriminal de cierto nivel, sino un usuario cualquiera con dinero y un manual.
➡️ Te puede interesar: Opacidad financiera en la era digital: riesgos para la salud pública y la seguridad nacional
En los 90, un hacker buscaba fama. En los 2000, un ransomware pedía rescates. Hoy, los cibercárteles persiguen algo más letal: el control estratégico de la medicina del futuro.
El robo de propiedad intelectual (IP) médica ya representa casi la totalidad de los ataques al sector salud (IBM X-Force, 2024). No quieren dinero fácil, sino poder.
Podemos ver tres pilares del cambio para entender el nuevo orden del cibercrimen sanitario. El primero es el valor, como nunca antes se había concebido, de la propiedad intelectual médica. Un historial clínico completo se cotiza en torno a los 1.000 dólares en mercados de la Dark Web. Un ensayo de fase III sobre inmunoterapia puede alcanzar varios millones. Y un algoritmo de IA para diagnóstico temprano de cáncer supera todos los registros anteriores.
Este escenario explica por qué hospitales como el Memorial Sloan Kettering (Nueva York) fueron ciberatacados. No fue por rescates, sino por el dataset de la investigación oncológica. El ataque retrasó 18 meses un tratamiento contra el glioblastoma.
El segundo pilar es la sombra de la geopolítica, materializada en grupos como Lazarus (Corea del Norte) o APT29 (Rusia). Estos operan como brazos armados de estados que buscan un nuevo equilibrio de poder mediante este tipo de maniobras para obtener ventaja competitiva. Solo en 2023, el 53 % de los ataques fueron motivados por fines financieros, y en su mayoría se dirigieron a entidades sanitarias (ENISA).
Y tercero, la industrialización de la extorsión hoy no basta con cifrar datos. El modus operandi exige robar patentes para luego chantajear a la empresa de realizar un pago por la devolución de lo sustraído. Si acceden, extorsionan al comprador, que puede ser otra empresa dentro del sector con la premisa de que si no efectúan el pago puede desvelar que utilizan tecnología obtenida de forma ilícita. En definitiva, un círculo perverso donde la medicina es rehén.
¿Por qué la sanidad es un blanco estratégico para el cibercrimen moderno?
Los cibercriminales no atacan hospitales por azar. Los eligen porque concentran información de altísimo valor y cuentan con defensas desiguales. Si hay enfrentamientos entre países, se convierten en el objetivo perfecto.
La historia clínica combina datos personales, biométricos, financieros y hábitos de vida. Son datos que no caducan con facilidad y permiten múltiples vías de monetización ilícita. Entre ellas: el fraude, la extorsión o la suplantación de identidad.
Piensen que un historial médico puede costar entre 29 y 938 euros (de 30 a 1.000 dólares) en el mercado negro. En cambio, los datos de una tarjeta de crédito se venden entre 1 y 6 dólares.
A esa «renta» directa se suma el valor del acceso a propiedad intelectual (como ensayos clínicos, protocolos o algoritmos diagnósticos). También influye la presión reputacional que genera la indisponibilidad de servicios críticos.
➡️ Te puede interesar: Cómo detectar si tu correo ha sido hackeado (y qué hacer)
Ese atractivo económico se encuentra con una vulnerabilidad sistémica crónica. El entorno sanitario integra tecnologías heterogéneas y de larga vida útil mediante dispositivos médicos conectados con ciclos de parcheo complejos, sistemas heredados que conviven con nuevas plataformas, redes a menudo poco segmentadas y una creciente dependencia de la telemedicina y del IoT clínico.
La operación continúa durante las 24 horas del día, los 7 días de la semana. Esto limita las ventanas de mantenimiento y retrasa las actualizaciones.
En este contexto, la cultura asistencial prioriza la urgencia clínica por encima de la higiene digital. Además, la superficie de ataque se amplía por distintos factores: la cadena de suministro (proveedores, aseguradoras, laboratorios), las integraciones tecnológicas, los estándares de interoperabilidad y la exposición del personal a campañas de ingeniería social.
La ecuación resultante es clara, datos extraordinariamente rentables en infraestructuras complejas y tensadas por la misión asistencial. Por eso, a ojos de los atacantes, cada hospital se convierte en un objetivo de alto retorno y baja fricción.
Métodos, tácticas y técnicas mejoradas en los últimos tiempos
Los cibercarteles como ya hemos comentado, han refinado su arsenal, veamos las tácticas que destacan en esta nueva ola de delincuencia:
- Living-off-the-land (LOTL): aprovechan herramientas ya presentes en los sistemas, como consolas de automatización, utilidades de administración remota o lenguajes preinstalados. Con ellas ejecutan comandos, se mueven lateralmente y extraen información sin disparar fácilmente las alertas. Esta aproximación se oculta tras procesos legítimos, como tareas de mantenimiento o scripts operativos, y dificulta la detección basada en firmas.
- Ataques a la cadena de suministro: en lugar de entrar por la «puerta principal», comprometen proveedores de software o servicios clínicos. Por ejemplo: plataformas de dictado, RIS/PACS, sistemas de gestión de citas o laboratorios externos. Desde ahí, se propagan a múltiples centros. La confianza implícita en actualizaciones y conectores de interoperabilidad amplifica su alcance. Una alteración en un componente común puede impactar a numerosas organizaciones de manera casi simultánea.
- Ransomware de triple extorsión: Evolución del secuestro de datos que combina el cifrado e indisponibilidad operativa, la exfiltración de información sensible (incluida propiedad intelectual y expedientes clínicos) para forzar el pago bajo amenaza de filtración, y la presión adicional mediante acciones como ataques de denegación de servicio, contacto directo con pacientes o socios, e incluso la intimidación con posibles sabotajes a sistemas dependientes. En sanidad, esta táctica explota la criticidad asistencial y la sensibilidad de los datos para elevar el apalancamiento.
Escenarios actuales: la batalla en tres frentes
El campo de juego ha mutado en tres escenarios letales. El primero es la sombra de los estados-nación, con operaciones sostenidas y orientadas a objetivos estratégicos. Estos incluyen la propiedad intelectual, las cadenas de suministro sanitarias y los programas de salud pública.
Además, tienen capacidad para mantener una persistencia prolongada. Su motivación combina inteligencia económica, ventaja geopolítica y acceso a datos sensibles de alto valor.
Por otro lado tendríamos la Economía del «cibermercenariado«: Un mercado de servicios ilícitos bajo demanda (acceso inicial, ransomware como servicio, exfiltración y venta de datos) que permite a terceros contratar intrusiones dirigidas contra laboratorios, farmacéuticas o centros de investigación. La profesionalización del delito reduce barreras de entrada y multiplica el alcance de campañas oportunistas y por encargo.
Y por último, vemos la superficie crítica del IoT clínico: dispositivos médicos conectados con ciclos de actualización complejos, herencias tecnológicas y dependencias de proveedores que amplían la exposición.
Alertas recurrentes de agencias especializadas subrayan la presencia de vulnerabilidades explotables en equipos asistenciales y sensores periféricos. Estos pueden convertirse en puertas de entrada a redes que soportan ensayos, historiales y operaciones hospitalarias.
La anatomía del desastre sanitario
Los casos se multiplican, citarlos todos transformaría este texto en una enciclopedía pero podemos ver un esquema general que se repite:
Primero: Un gran hospital público sufre una intrusión que desemboca en un episodio de ransomware introducido a través de un servicio de telemedicina expuesto. La organización se ve obligada a suspender intervenciones y a operar en modo degradado, mientras los atacantes exfiltraban información clínica vinculada a terapias avanzadas.
➡️ Te puede interesar: ¿Qué es el cibercrimen y cómo protegerse?
La investigación interna apunta a un acceso inicial facilitado por credenciales débiles y la ausencia de autenticación multifactor, un recordatorio de que la higiene básica puede marcar la diferencia entre un incidente menor y una crisis sistémica.
Segundo: En el ámbito de la I+D biomédica, un programa internacional de desarrollo de vacunas es objeto de una campaña de intrusión atribuible a un actor con capacidades avanzadas. Los atacantes orquestan correos engañosos que imitaban a organismos de referencia para obtener credenciales de personal científico y, a partir de ahí, pivota hacia repositorios de investigación.
El resultado es el acceso no autorizado a documentación técnica y elementos de propiedad intelectual con valor competitivo, demostrando cómo laingeniería social bien dirigida puede atravesar barreras organizativas sofisticadas.
Tercero: La fragilidad de la cadena de suministro queda patente cuando una vulnerabilidad de día cero en una solución de transferencia de archivos ampliamente utilizada abre una puerta común a múltiples instituciones sanitarias y centros de investigación.
La explotación simultánea provoca un efecto dominó: desde la exfiltración de expedientes y conjuntos de datos biomédicos hasta interrupciones operativas en procesos interdependientes. Lo más paradójico es que la herramienta comprometida se usa para compartir información crítica de alto impacto social, lo que multiplica el daño reputacional y pone en cuestión los supuestos de confianza inherentes a la interoperabilidad del ecosistema.
No son incidentes, sino una autopsia de un sistema en crisis. Cuando un termómetro inteligente derriba la investigación de una década, o cuando un fisioterapeuta con mala contraseña paraliza un hospital, la conclusión es brutal a la que se llega, la medicina del siglo XXI avanza con cerraduras del siglo XIX. Los criminales lo saben. Nosotros, ¿cuándo lo aprenderemos?
Consecuencias más allá de lo económico
La fijación por el volumen de los rescates o el valor contable de la propiedad intelectual eclipsa el verdadero coste que no es otro que el robo de datos sanitarios ya que no solo afecta balances, afecta vidas.
Detrás de cada incidente hay tratamientos demorados, ensayos clínicos interrumpidos y decisiones clínicas tomadas con menos información de la necesaria. El tiempo (recurso no renovable en medicina) se convierte en la principal víctima materializado en proyectos que se retrasan, terapias que llegan tarde y pacientes que aguardan soluciones que se alejan.
➡️ Te puede interesar: Protección de datos personales: cómo mantener tu información segura en línea
El impacto se extiende al corazón de la práctica médica y mina su confianza. Cuando la confidencialidad se percibe vulnerable, parte de los pacientes oculta síntomas, retrasa consultas o evita compartir información sensible. Ese “silencio defensivo” degrada la calidad asistencial y multiplica riesgos, fracturando un pilar ético que sostiene la relación clínica desde sus orígenes.
También está en juego la bio-soberanía. La sustracción de algoritmos, modelos de priorización o bases de datos que guían decisiones críticas abre la puerta a manipulaciones que pueden desestabilizar sistemas enteros. La información biomédica deviene, así, un activo de poder en escenarios de competencia estratégica y guerras híbridas, con potencial para alterar políticas públicas y flujos de recursos sanitarios.
En paralelo, la vida cotidiana del ecosistema sanitario se resiente con hospitales que vuelven a procesos manuales, equipos de investigación que destruyen o desconectan repositorios por prudencia, profesionales que adoptan protocolos de mínimos por miedo a nuevas intrusiones. El miedo, convertido en procedimiento, normaliza la excepcionalidad y consolida pérdidas invisibles traducido en horas no dedicadas al cuidado, hallazgos no compartidos, decisiones clínicas diferidas.
Mirar más allá de la cifra es, por tanto, una obligación ética y de política pública. Hemos transformado los hospitales en objetivos estratégicos a nivel muldial, se atacan y son atacados en esta nueva guerra mundial 3.0 no declarada, nadie ha mostrado un interés real por excluirlos de los conflictos como cuando mostramos preocupación por acabar con las minas antipersona o munición de punta hueca.
Ahora comenzaremos a pagar las consecuencias.
➡️ Si quieres ser un experto en Ciberseguridad, te recomendamos el siguiente curso formativo:
