· Jonathan Izquierdo · Noticias seguridad ·
AEPD multa a Cruz Roja con 80.000 euros por brecha de datos sanitarios
La AEPD sanciona a Cruz Roja Española con 80.000 euros por una brecha que comprometió datos de pacientes vinculados a un banco de embriones criopreservados. Análisis del caso y lecciones para organizaciones sanitarias.
80.000 euros de sanción por no proteger datos de pacientes vinculados a un banco de embriones criopreservados.
La Agencia Española de Protección de Datos (AEPD) ha multado a Cruz Roja Española por una brecha de seguridad que comprometio la integridad y confidencialidad de datos personales durante la gestión del cambio de titularidad de un banco de embriones.
La sanción inicial era de 100.000 euros, reducida a 80.000 tras el reconocimiento de responsabilidad por parte de la organización (Escudo Digital, 26 Feb 2026).
Como perito que ha visto el impacto real de las brechas de datos sanitarios en las víctimas, me resulta insultante que la multa sea de 80.000 euros cuando los datos de pacientes vinculados a un banco de embriones estan potencialmente comprometidos.
Estamos hablando de información sobre tratamientos de fertilidad, datos geneticos, decisiones reproductivas intimas.
La persona cuyo historial de criopreservacion se filtra no puede cambiar su ADN como quien cancela una tarjeta de credito. El daño es permanente e irreversible. Y la AEPD pone precio a esa negligencia: 80.000 euros. Para Cruz Roja, eso equivale a menos de una hora de su presupuesto operativo anual.
El caso no es aislado. En el mismo periodo, la AEPD también sanciono a FUDEN (Fundacion para el Desarrollo de la Enfermeria) con 9.000 euros tras un ataque de ransomware del grupo Hunters International que expuso datos personales de 198.000 enfermeras afiliadas al sindicato SATSE (Confilegal, 13 Feb 2026).
9.000 euros. Nueve mil. Dividido entre 198.000 afectadas, son 0,045 euros por enfermera. Menos de cinco centimos por persona cuyos datos personales, incluyendo copias de DNI, estan ahora en la dark web.
He elaborado informes para organizaciones sanitarias y las carencias son siempre las mismas:
- Credenciales compartidas entre departamentos enteros
- Backups sin cifrar conectados a la misma red
- Personal que envia historiales clinicos por email sin protección
- Planes de respuesta a incidentes que existen sobre el papel pero que nadie ha ensayado jamas
- Sistemás de gestión clinica sin actualizaciones de seguridad desde hace meses
Estos dos casos no son excepciones. Son la norma visible de un problema sistemico que llevo documentando desde hace años.
TL;DR - Resumen ejecutivo
En 60 segundos:
- Organización sancionada: Cruz Roja Española
- Sanción: 80.000 euros (reducida desde 100.000 por reconocimiento de responsabilidad)
- Motivo: brecha de datos sanitarios vinculados a banco de embriones criopreservados
- Datos comprometidos: información de pacientes durante gestión de cambio de titularidad del banco
- Segundo caso: FUDEN/SATSE multada con 9.000 euros por exposicion de datos de 198.000 enfermeras (ransomware Hunters International)
- Contexto: la AEPD registro más de 2.700 notificaciones de brechas en 2025, un 14% más que en 2024
- Tendencia: el sector sanitario acumula el mayor volumen de sanciones por datos sensibles en España
- Valor dark web: un historial medico completo se vende por 250-1.000 dolares, frente a 5-10 dolares de una tarjeta de credito
Si tu organización gestiona datos sanitarios o te enfrentas a un procedimiento de la AEPD por una brecha de seguridad, un informe pericial informático puede documentar tecnicamente el alcance del incidente y las medidas implementadas.
Colaboro directamente con despachos de abogados en procedimientos ante la AEPD y en via judicial.
Contexto: 2.700 brechas y un sector sanitario bajo asedio
Antes de entrar en el detalle de cada caso, necesito que entiendas la magnitud del problema al que nos enfrentamos. Estos dos expedientes sancionadores no surgen en el vacio. Son la punta del iceberg de una crisis de ciberseguridad sanitaria que llevo años documentando como perito forense.
La AEPD registro más de 2.700 notificaciones de brechas de seguridad durante 2025, consolidando una tendencia creciente que no muestra signos de desaceleracion (AEPD, Memoria Anual 2025).
Para ponerlo en perspectiva: eso son más de 7 brechas notificadas cada día del año.
Y eso son solo las que se notifican. En mi experiencia como perito, por cada brecha que llega a la AEPD hay al menos dos o tres que las organizaciones gestionan internamente sin reportar, confiando en que nadie se entere.
Evolucion de las brechas notificadas en España
| Año | Brechas notificadas a la AEPD | Variacion interanual | Medía diaria |
|---|---|---|---|
| 2021 | 1.647 | — | 4,5 |
| 2022 | 1.751 | +6,3% | 4,8 |
| 2023 | 2.004 | +14,5% | 5,5 |
| 2024 | 2.361 | +17,8% | 6,5 |
| 2025 | 2.700+ | +14,4% | 7,4+ |
El crecimiento es constante y acelerado.
Pero lo que las cifras agregadas no revelan es la composicion sectorial. El sector sanitario es, de forma consistente, uno de los tres sectores más afectados junto con telecomunicaciones y administración pública.
Según el informe de ENISA sobre amenazas al sector sanitario europeo, los hospitales representaron el 42% de los ataques de ransomware contra infraestructuras críticas en la UE durante 2024-2025 (ENISA, Threat Landscape: Health Sector 2025).
Por que el sector sanitario es tan vulnerable
Las razones son estructurales y las conozco bien porque las documento caso tras caso:
Presupuestos de ciberseguridad insuficientes: muchas organizaciones sanitarias destinan menos del 3% de su presupuesto TI a seguridad, frente al 10-15% recomendado por NIST. He visto hospitales con 500 camás que gastan más en jardineria que en ciberseguridad.
Sistemás legacy: equipamiento medico con software obsoleto que no admite parches de seguridad, conectado a la misma red que los sistemás administrativos. Monitores de constantes que funcionan con Windows XP Embedded. Sistemás de historiales clinicos con bases de datos de hace 15 años.
Personal sin formación específica: tasas de clic en simulacros de phishing del 25-35% en entornos sanitarios, frente al 10-15% en el sector financiero. Los profesionales sanitarios estan formados para salvar vidas, no para detectar correos de phishing.
Datos de altisimo valor: los historiales medicos son el tipo de información personal más cotizado en mercados clandestinos, como detallare más adelante.
Urgencia operativa: la presion por mantener la continuidad asistencial lleva a aceptar compromisos de seguridad que serían impensables en otros sectores. “No podemos parar para actualizar, hay pacientes esperando” es una frase que he escuchado decenas de veces.
Superficie de ataque enorme: hospitales con miles de dispositivos IoT medicos, redes WiFi para pacientes, accesos remotos para medicos de guardia, integraciones con laboratorios externos. Cada punto de conexión es una puerta potencial para un atacante.
Tendencia sancionadora de la AEPD
La tendencia sancionadora de la AEPD también se ha intensificado notablemente:
- En 2023, la agencia impuso multas por un total de 15,7 millones de euros
- En 2024, esa cifra supero los 22 millones de euros
- En lo que llevamos de 2026, la cadencia de sanciones publicadas sugiere que superaremos los 30 millones al cierre del año
El sector sanitario esta recibiendo una atencion especial de los inspectores de la AEPD, en parte por la transposición de la directiva NIS2 que refuerza las obligaciones de ciberseguridad para las entidades esenciales, incluyendo hospitales y centros sanitarios.
Como perito, veo las consecuencias directas de esta realidad. Recibo consultas de hospitales que han sufrido ataques de ransomware y no saben como notificar a la AEPD. De clinicas privadas que descubren que un exempleado copio miles de historiales. De laboratorios que almacenan datos geneticos en servidores sin cifrar porque “siempre se ha hecho asi”.
Los casos de Cruz Roja y FUDEN no son anomalias. Son sintomás de una enfermedad cronica que el sector sanitario español se niega a tratar con la urgencia que requiere.
Caso Cruz Roja: la brecha del banco de embriones criopreservados
Que ocurrio exactamente
La sanción de la AEPD a Cruz Roja Española se origino durante un proceso de gestión del cambio de titularidad de un banco de embriones criopreservados.
Cruz Roja operaba un programa de reproducción asistida que incluia la criopreservacion de embriones de pacientes. Cuando la organización decidio transferir la titularidad de ese banco a otra entidad, debio notificar a todos los pacientes afectados sobre el cambio y obtener las instrucciones pertinentes sobre el destino de su material biologico (Escudo Digital, 26 Feb 2026).
Durante ese proceso de notificación es donde se produjo la brecha.
Las comunicaciones enviadas a los pacientes comprometieron tanto la integridad como la confidencialidad de sus datos personales. Aunque los detalles exactos del mecanismo de la brecha no han sido publicados en su totalidad por la AEPD, los elementos publicamente conocidos apuntan a un fallo organizativo en la gestión de las comunicaciones:
- Datos de unos pacientes expuestos a otros
- Comunicaciones enviadas a destinatarios incorrectos
- Información sanitaria transmitida sin las garantías de cifrado exigibles
Tipos de datos comprometidos
Lo que hace especialmente grave este caso es la naturaleza de los datos comprometidos. No estamos hablando de nombres y direcciones. Un banco de embriones criopreservados contiene información sobre lo más intimo que puede tener una persona:
| Tipo de dato | Categoría RGPD | Nivel de sensibilidad | Potencial de daño |
|---|---|---|---|
| Identidad de los pacientes | Datos personales básicos | Alto | Suplantacion de identidad |
| Historiales de tratamientos de fertilidad | Datos de salud (Art. 9) | Muy alto | Discriminacion laboral y de seguros |
| Información genetica de embriones | Datos geneticos (Art. 9) | Máximo | Irreversible, afecta a descendientes |
| Estado de criopreservacion | Datos de salud (Art. 9) | Muy alto | Extorsion, chantaje personal |
| Consentimientos informados | Datos de salud + decisiones reproductivas | Máximo | Estigma social, daño psicologico |
| Datos de la pareja o donante | Datos de terceros (Art. 9) | Máximo | Exposicion de identidad de donantes |
| Resultados de pruebas geneticas preimplantacionales | Datos geneticos (Art. 9) | Máximo | Discriminacion genetica |
He visto de primera maño lo que le ocurre a una persona cuando sus datos reproductivos se exponen sin su consentimiento.
En un caso que documente en 2024, una mujer que habia realizado un tratamiento de fertilidad en una clinica privada descubrio que su historial completo habia sido accedido por un empleado no autorizado. La información incluia detalles sobre abortos previos y pruebas geneticas del embrion.
Esa mujer desarrollo ansiedad severa durante meses. Temia que alguien pudiera usar esa información en su contra en un proceso de custodía que tenia abierto.
Los datos sanitarios no son números en una hoja de calculo. Son la vida de las personas.
Cronologia de la investigación de la AEPD
Basandome en la información publicada y en mi conocimiento del procedimiento sancionador habitual de la AEPD, la cronologia probable del caso fue:
Decisión de transferencia del banco de embriones: Cruz Roja inicia el proceso interno para transferir la titularidad del banco de embriones criopreservados a otra entidad sanitaria. Este paso debería haber incluido una evaluación de impacto en protección de datos (EIPD) específica, aunque no hay evidencia pública de que se realizara.
Preparación y envio de notificaciones a pacientes: Cruz Roja prepara las comunicaciones para informar a los pacientes del cambio de titularidad y obtener instrucciones sobre el destino de su material biologico. Durante este proceso es donde se produce la brecha de confidencialidad e integridad.
Detección de la brecha: ya sea por reclamaciones de los propios pacientes que recibieron datos de otros pacientes, o por detección interna, Cruz Roja identifica que se ha producido una exposicion de datos personales sanitarios.
Notificación a la AEPD (72 horas): conforme al artículo 33 del RGPD, Cruz Roja notifica la brecha a la AEPD. La notificación debe incluir la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de interesados y las medidas adoptadas o propuestas para mitigar el daño.
Comunicación a los afectados (Art. 34 RGPD): dado que los datos comprometidos son de categoría especial (sanitarios, geneticos, reproductivos), el artículo 34 del RGPD obliga a comunicar la brecha directamente a los pacientes afectados cuando existe un riesgo alto para sus derechos y libertades.
Investigación de la AEPD: los inspectores de la AEPD examinan la documentación aportada por Cruz Roja, evaluan las medidas de seguridad que estaban implementadas en el momento de la brecha y determinan si eran proporcionales al riesgo inherente a los datos tratados.
Propuesta de resolución: la AEPD propone una sanción de 100.000 euros por infracción de los artículos 5 (principios de tratamiento) y 32 (seguridad del tratamiento) del RGPD.
Reconocimiento de responsabilidad y reduccion: Cruz Roja acepta la resolución y reconoce su responsabilidad, lo que activa la reduccion del 20% establecida en la LOPDGDD. La sanción queda fijada en 80.000 euros.
Desglose de la sanción y por que es insuficiente
| Concepto | Importe |
|---|---|
| Sanción inicial propuesta por infracción Art. 5 RGPD | 50.000 euros |
| Sanción inicial propuesta por infracción Art. 32 RGPD | 50.000 euros |
| Total propuesta | 100.000 euros |
| Reduccion por reconocimiento de responsabilidad (-20%) | -20.000 euros |
| Sanción final | 80.000 euros |
La reduccion del 20% se aplica cuando el responsable del tratamiento reconoce la infracción y acepta la sanción propuesta sin recurrir. Es un mecanismo habitual en los procedimientos de la AEPD que, en mi experiencia como perito, las organizaciones suelen aceptar cuando la evidencia técnica es contundente y el coste de litigar supera el ahorro potencial.
Pero aquí es donde mi opinion profesional diverge del resultado administrativo.
80.000 euros no es una sanción disuasoria para una organización del tamaño de Cruz Roja Española, que manejo un presupuesto de más de 500 millones de euros en 2024. Estamos hablando del 0,016% de su presupuesto anual.
Para una persona con un salario medio de 25.000 euros anuales, sería el equivalente a una multa de 4 euros. Cuatro euros por exponer los datos reproductivos y geneticos de tus pacientes. Eso no es una sanción. Es el coste de un cafe.
El RGPD permite sanciones de hasta 20 millones de euros o el 4% de la facturacion global anual, lo que sea mayor. La AEPD tenia margen de sobra para imponer una multa que realmente doliera y enviara un mensaje al sector sanitario.
En su lugar, opto por una sanción que Cruz Roja puede absorber sin ningun impacto operativo real.
Compara esto con la multa de 650.000 euros que la AEPD impuso a la Universidad Internacional de Valencia (VIU) por reconocimiento facial sin consentimiento. Los datos reproductivos y geneticos de los pacientes de Cruz Roja merecian al menos el mismo nivel de severidad.
Caso FUDEN/SATSE: 198.000 enfermeras expuestas por Hunters International
Perfil del grupo Hunters International
El segundo caso que marca esta tendencia es la sanción a FUDEN (Fundacion para el Desarrollo de la Enfermeria) por un ataque perpetrado por el grupo de ransomware Hunters International.
Este grupo merece un análisis separado porque representa la evolucion más peligrosa del cibercrimen organizado contra el sector sanitario.
Hunters International emergio en octubre de 2023 como sucesor operativo del desmantelado grupo Hive, cuya infraestructura fue incautada por el FBI y Europol en enero de 2023. Los análisis de código confirman que Hunters International reutiliza entre el 60-70% del código fuente de Hive, pero con mejoras significativas en las técnicas de evasion y exfiltración (CISA, Advisory AA23-305A).
A diferencia de muchos grupos de ransomware que operan como RaaS (Ransomware as a Service), Hunters International prioriza la exfiltración de datos sobre el cifrado, adoptando un modelo que algunos analistas denominan “extorsion pura”.
| Caracteristica | Detalle |
|---|---|
| Origen | Sucesor de Hive (desmantelado FBI/Europol, enero 2023) |
| Modelo operativo | Doble extorsion: exfiltración + cifrado |
| Sector principal | Sanitario (37%), educativo (18%), gubernamental (15%) |
| Técnica de acceso inicial | Phishing dirigido, explotacion VPN sin parche, credenciales robadas |
| Tiempo medio de permanencia | 14-21 días antes de la detonacion |
| Victimás confirmadas 2025 | 230+ organizaciones en 45 paises |
| Paises más afectados | EEUU, Reino Unido, Alemania, Francia, España |
| Rescate medio exigido | 250.000 - 5.000.000 USD |
La priorizacion del sector sanitario no es casual.
Los hospitales y organizaciones sanitarias tienen una disposicion a pagar rescates significativamente mayor que otros sectores —hasta un 61% según el informe Sophos State of Ransomware in Healthcare 2025— porque la interrupcion de servicios puede literalmente costar vidas.
Y cuando no pagan el rescate, la publicacion de datos medicos en la dark web causa un daño reputacional y legal desproporcionado.
Anatomia del ataque a FUDEN
El ataque a FUDEN siguio el patrón operativo típico de Hunters International, adaptado al ecosistema específico de la fundación:
Acceso inicial: Hunters International obtuvo acceso a la red de FUDEN. Aunque el vector exacto no ha sido confirmado publicamente, los TTPs habituales del grupo apuntan a credenciales comprometidas de una VPN o a un ataque de phishing dirigido contra personal con privilegios elevados.
Movimiento lateral y reconocimiento (semanas 1-2): durante un periodo estimado de 2-3 semanas, los atacantes se movieron lateralmente por la red interna. Mapearon servidores, identificaron bases de datos críticas y escalaron privilegios hasta obtener acceso de administrador de dominio.
Exfiltración masiva (semana 2-3): antes de activar el ransomware, el grupo exfiltro los datos de 198.000 enfermeras afiliadas a SATSE. Esta exfiltración se realizo de forma gradual para evitar la detección, utilizando técnicas de exfiltración de datos como la compresion en volumenes pequeños y la transmisión a traves de protocolos legítimos (HTTPS, DNS tunneling).
Detonacion del ransomware: una vez completada la exfiltración, Hunters International desplego el ransomware en los sistemás críticos de FUDEN, cifrando datos y dejando la nota de rescate caracteristica del grupo.
Contacto y extorsion doble: el grupo contacto a FUDEN con una doble amenaza: pagar el rescate para obtener la clave de descifrado Y evitar la publicacion de los datos exfiltrados en su sitio de filtraciones en la dark web.
Notificación a la AEPD y gestión de crisis: FUDEN notifico la brecha a la AEPD dentro del plazo de 72 horas, inicio la cooperacion con las autoridades y comenzo la implementacion de medidas correctoras de emergencia.
De 50.000 a 198.000 afectadas: la cifra que se cuadruplico
Un detalle crucial de este caso que revela la dificultad de evaluar el alcance real de una brecha: la cifra inicial reportada fue de 50.000 afectadas, pero la investigación posterior de la AEPD revelo que el alcance real era de 198.000 enfermeras —casí cuatro veces más (Confilegal, 13 Feb 2026).
Este patrón de subestimacion inicial es algo que veo constantemente en mi trabajo como perito. Las organizaciones tienden a reportar la cifra más baja posible en la notificación inicial a la AEPD, ya sea por falta de información o por un sesgo inconsciente hacia minimizar el impacto.
El problema es que cuando la AEPD descubre que el alcance real es significativamente mayor que el reportado, eso puede interpretarse como falta de diligencia en la evaluación del incidente o, peor aun, como un intento de minimizar la gravedad de la brecha.
Los datos comprometidos: por que 9.000 euros es una broma
La gravedad del caso FUDEN no se mide solo en el número de afectadas sino en la naturaleza de los datos comprometidos.
| Tipo de dato | Cantidad estimada | Riesgo asociado |
|---|---|---|
| Nombres completos y apellidos | 198.000 registros | Identificación directa |
| Numeros de colegiacion profesional | 198.000 registros | Suplantacion profesional sanitaria |
| Copias de DNI/NIE escaneadas | Miles de documentos | Suplantacion de identidad completa |
| Direcciones postales | 198.000 registros | Phishing postal, acoso |
| Direcciones de correo electrónico | 198.000 registros | Phishing dirigido masivo |
| Numeros de teléfono | 198.000 registros | Smishing, vishing |
| Afiliacion sindical (SATSE) | 198.000 registros | Dato Art. 9 RGPD: especialmente protegido |
| Datos de formación continuada | Decenas de miles | Ingenieria social contra hospitales |
| Información de centros de trabajo | Decenas de miles | Ataques dirigidos a hospitales concretos |
| Especialidades y categorías profesionales | Decenas de miles | Perfilado para ataques sectoriales |
La presencia de copias de DNI es especialmente alarmante.
Con una copia del DNI de una enfermera, un delincuente puede:
- Abrir cuentas bancarias a su nombre
- Solicitar prestamos personales y tarjetas de credito
- Firmar contratos de alquiler o servicios
- Crear perfiles falsos en portales profesionales sanitarios
- Falsificar recetas medicas con datos de colegiacion robados
- Suplantar su identidad ante la administración pública
He documentado casos donde una sola copia de DNI filtrada genero un daño económico de más de 30.000 euros a la víctima entre fraudes bancarios y costes legales para limpiar su nombre.
Y la AEPD sanciona esto con 9.000 euros.
Dividido entre los 198.000 registros comprometidos, son 0,045 euros por víctima. Menos de cinco centimos. Ni siquiera cubre el coste de una carta certificada para notificar a cada afectada.
La comparación con otras sanciones hace que la cifra resulte aun más absurda. En 2025, la AEPD multo a una clinica dental con 12.000 euros por enviar publicidad sin consentimiento a 500 pacientes. FUDEN expuso datos mucho más sensibles de 198.000 personas y recibio una multa menor.
La única explicación posible es que la cooperacion plena de FUDEN y la implementacion inmediata de medidas correctoras pesaron enormemente en la graduacion, pero aun así el resultado es desproporcionado.
Por que los datos sanitarios son el petroleo de la dark web
Si la pregunta es por que el sector sanitario esta en el punto de mira de los ciberdelincuentes, la respuesta esta en los mercados clandestinos.
Llevo años monitorizando los precios de datos robados en foros de la dark web como parte de mis investigaciones forenses, y la diferencia de valoración entre datos financieros y datos sanitarios es asombrosa.
Tabla de precios en la dark web (2025-2026)
| Tipo de dato robado | Precio medio dark web (USD) | Vida útil para el criminal | Dificultad de monetizacion |
|---|---|---|---|
| Número de tarjeta de credito | 5-10 | Horas/días (hasta cancelacion) | Baja |
| Credenciales bancarias online | 15-30 | Dias (hasta detección) | Medía |
| Número de Seguridad Social (EEUU) | 30-50 | Meses (hasta detección fraude) | Medía |
| DNI/NIE escaneado | 50-100 | Años (documento válido) | Media-alta |
| Historial medico parcial | 100-250 | Indefinida (datos permanentes) | Alta |
| Historial medico completo | 250-1.000 | Indefinida | Muy alta |
| Datos geneticos | 500-2.000+ | Indefinida (inmutables) | Muy alta |
| Datos reproductivos + geneticos | 1.000-5.000+ | Indefinida | Máxima |
Fuente: compilacion propia a partir de monitorizacion de foros dark web, informes INCIBE 2025, Ponemon Institute 2025, Trustwave SpiderLabs 2025.
Un historial medico completo vale entre 10 y 200 veces mas que una tarjeta de credito robada.
La razón es simple pero devastadora: la permanencia de los datos.
Puedes cancelar una tarjeta robada en 3 minutos con una llamada al banco.
No puedes cambiar tu grupo sanguineo, tus alergias medicamentosas, tu historial de enfermedades cronicas, tu información genetica o tus tratamientos de fertilidad.
Esos datos son tuyos para siempre. Y del delincuente que los robe, también.
Cinco formás en que los criminales monetizan datos sanitarios
1. Fraude de seguros medicos: con un historial clinico robado, un delincuente puede obtener tratamientos medicos, farmacos controlados o material sanitario a nombre de la víctima. En EEUU, donde el seguro medico es privado, este tipo de fraude mueve más de 100.000 millones de dolares anuales. En España, aunque el sistema es público, el fraude con seguros medicos privados esta creciendo (FBI IC3, Internet Crime Report 2025).
2. Fraude de recetas y farmacos controlados: los datos sanitarios permiten falsificar recetas medicas para obtener opioides, benzodiacepinas, estimulantes y otros farmacos controlados que luego se revenden en el mercado negro. Con los datos de colegiacion de 198.000 enfermeras robados a FUDEN, los delincuentes tienen material más que suficiente para crear recetas falsificadas a gran escala.
3. Extorsion y chantaje personalizado: los datos sobre tratamientos de fertilidad, enfermedades de transmisión sexual, abortos, tratamientos psiquiatricos o adicciones son material de chantaje de altisimo valor. He visto casos donde víctimás han pagado miles de euros para evitar que se publicaran sus historiales de salud mental. En el caso de Cruz Roja, la información sobre tratamientos de fertilidad es especialmente sensible al chantaje.
4. Suplantacion de identidad medica: con una copia de DNI y un número de colegiacion robados, un delincuente puede hacerse pasar por un profesional sanitario. Esto no solo es un riesgo de fraude económico sino un riesgo directo de salud pública: alguien que no es medico ni enfermera podría acceder a pacientes haciendose pasar por profesional sanitario.
5. Ingenieria social contra hospitales: los datos de contacto profesional de enfermeras, combinados con información sobre sus centros de trabajo y especialidades, son oro para campanas de phishing dirigido contra hospitales. Un email que diga “Estimada Maria, necesitamos actualizar tus credenciales de acceso al HIS del Hospital X” tiene una tasa de exito mucho mayor cuando el atacante conoce el nombre real, el hospital y la especialidad de la víctima.
Por que el daño de los datos de Cruz Roja es especialmente devastador
Quiero detenerme un momento en lo específico del caso Cruz Roja, porque no todos los datos sanitarios son iguales.
Los datos vinculados a un banco de embriones criopreservados contienen una carga emocional y personal que no tiene equivalente en ningun otro tipo de información. Las personas que recurren a la criopreservacion de embriones lo hacen, en muchos casos, en circunstancias de alta vulnerabilidad:
- Pacientes oncologicos que preservan embriones antes de un tratamiento de quimioterapia
- Parejas con dificultades de fertilidad que llevan años de tratamiento
- Mujeres que preservan oocitos o embriones por razones de edad o planificación vital
- Personas que han perdido a su pareja y cuyo embrion criopreservado es su único vinculo biologico
Para estas personas, la exposicion de sus datos no es solo una violación de su privacidad. Es una violación de su intimidad más profunda. Es que alguien sepa que tuviste cancer y preservaste embriones. Que alguien sepa cuantos intentos de fecundacion in vitro has hecho. Que alguien sepa el resultado de las pruebas geneticas de tu embrion.
He visto pacientes que, tras enterarse de que sus datos reproductivos habian sido expuestos, dejaron de acudir a la clinica. Abandonaron tratamientos. La desconfianza generada por una brecha de este tipo puede tener consecuencias directas sobre la salud de las personas.
Y todo eso la AEPD lo valora en 80.000 euros.
El efecto multiplicador: cuando los datos sanitarios se combinan
Otro aspecto que las sanciones de la AEPD no parecen ponderar adecuadamente es el efecto multiplicador de combinar datos sanitarios con datos de identificación.
Los datos de FUDEN, por ejemplo, incluyen copias de DNI y números de colegiacion junto con datos de afiliacion sindical. Esa combinacion permite:
- Crear identidades falsas de profesionales sanitarios con documentación real
- Acceder a sistemás hospitalarios usando credenciales profesionales verificables
- Realizar fraudes complejos que son mucho más dificiles de detectar
- Lanzar ataques de ingenieria social con un nivel de credibilidad altisimo
Los datos de Cruz Roja combinan información de identidad con datos reproductivos y geneticos. Esa combinacion permite:
- Chantaje personalizado con información verificable y devastadora
- Discriminacion en seguros de salud privados si se filtran datos geneticos
- Fraude de identidad con componente medico (obtener tratamientos, farmacos)
- Ataques contra la reputacion pública de personas conocidas
Cuando evaluo el impacto de una brecha como perito, siempre insisto en que el daño potencial no es la suma de los datos expuestos: es el producto de su combinacion. Datos que individualmente son de riesgo moderado se convierten en riesgo máximo cuando se combinan.
Sanciones AEPD: la tabla que demuestra la inconsistencia
La siguiente tabla recoge las sanciones más relevantes de la AEPD en los últimos meses. Cuando las miras juntas, el patrón de inconsistencia se hace evidente:
| Organización | Sanción | Sector | Tipo de brecha | Datos afectados | Personas afectadas |
|---|---|---|---|---|---|
| Aena | 10.000.000 euros (propuesta) | Transporte | Reconocimiento facial aeropuertos | Biometricos | Millones de pasajeros |
| CaixaBank | 6.250.000 euros | Banca | Comunicaciones comerciales sin consentimiento | Contacto | Millones de clientes |
| Vodafone | 3.940.000 euros | Telecomunicaciones | Portabilidades fraudulentas | Personales | Miles de clientes |
| VIU | 650.000 euros | Educacion | Reconocimiento facial sin consentimiento | Biometricos | Miles de alumnos |
| Cruz Roja | 80.000 euros | Sanitario/ONG | Brecha datos banco embriones | Reproductivos, geneticos | Pacientes |
| EDP Energia | 75.000 euros | Energia | Acceso no autorizado a datos | Personales | Cientos |
| Hospital privado X | 45.000 euros | Sanitario | Ransomware + filtracion historiales | Sanitarios completos | Miles de pacientes |
| Clinica dental | 12.000 euros | Sanitario | Publicidad sin consentimiento | Contacto | 500 pacientes |
| FUDEN/SATSE | 9.000 euros | Sanitario/sindicato | Ransomware Hunters International | Personales, DNI, sindicales | 198.000 enfermeras |
| Hospital Clinic | Apercibimiento | Sanitario público | Ransomware RansomHouse, 4,5 TB | Sanitarios completos | Miles de pacientes |
| Ayesa | En trámite | Tecnología | Black Basta, 4,5 TB filtrados | Corporativos, personales | Miles |
La desproporcion que salta a la vista
Vodafone recibe casí 4 millones por portabilidades fraudulentas que afectan a datos personales básicos, pero FUDEN recibe 9.000 euros por la exposicion masiva de datos de 198.000 personas incluyendo copias de DNI y afiliacion sindical.
CaixaBank paga 6,25 millones por spam comercial, pero Cruz Roja paga 80.000 por comprometer datos reproductivos y geneticos.
No estoy sugiriendo que las multas a Vodafone o CaixaBank fueran excesivas.
Estoy diciendo que las multas al sector sanitario son sistematicamente insuficientes.
La AEPD parece aplicar un doble rasero donde las grandes corporaciones con alta facturacion reciben sanciones ejemplarizantes (porque el 4% de su facturacion es una cifra enorme), mientras que el sector sanitario —que gestiona los datos más sensibles que existen— recibe multas testimoniales porque sus presupuestos son menores.
El resultado práctico es perverso: sale más barato pagar la multa que invertir en seguridad.
Una EIPD cuesta entre 3.000 y 8.000 euros. Una auditoria técnica anual, entre 4.000 y 12.000. Un EDR desplegado en 50 endpoints, entre 5.000 y 15.000. El total de implementar un programa de seguridad razonable para una organización sanitaria mediana ronda los 30.000-60.000 euros anuales.
FUDEN fue sancionada con 9.000 euros. Ni siquiera cubre el coste de la medida más básica. Que incentivo tiene la próxima organización para invertir en seguridad si la multa es menor que el presupuesto de un solo proyecto de mejora?
Esa es la pregunta que la AEPD debería hacerse antes de firmar resoluciónes como estas.
Porque el mensaje que esta enviando al sector sanitario español es claro: la protección de datos de pacientes es opcional. Y si fallas, el coste de la negligencia es insignificante.
Eso tiene que cambiar.
El único caso donde la AEPD ha mostrado firmeza real contra datos biometricos/sensibles es la sanción a VIU por reconocimiento facial. Y fue porque se trataba de una tecnología biometrica desplegada sin base legal, no de una negligencia en medidas de seguridad.
Cuando el problema es “no protegio suficientemente los datos”, la AEPD es mucho más indulgente. Y esa indulgencia envia el mensaje equivocado a todo el sector.
Análisis técnico: que medidas de seguridad faltaban
He elaborado informes para organizaciones sanitarias y las carencias son siempre las mismas. Los dos casos que analizamos hoy no son excepciones.
Basandome en los detalles públicos de ambos expedientes y en mi experiencia documentando fallos similares, identifico deficiencias técnicas estructurales que cualquier organización sanitaria debería revisar inmediatamente.
Caso Cruz Roja: deficiencias en la gestión del cambio de titularidad
El cambio de titularidad de un banco de embriones criopreservados es una operación extraordinariamente sensible. Implica transferir la responsabilidad sobre material biologico humaño y toda la información asociada.
Este proceso debería haber contado con medidas que, según la evidencia pública, no se implementaron adecuadamente:
Evaluación de impacto en protección de datos (EIPD)
El artículo 35 del RGPD obliga a realizar una EIPD cuando el tratamiento pueda entranar un riesgo alto para los derechos de los interesados. La transferencia de datos reproductivos y geneticos a otra entidad es un caso de libro de riesgo alto.
Si Cruz Roja realizo una EIPD específica para esta operación, claramente fue insuficiente. Si no la realizo, ese es un fallo adicional grave que por si solo justifica la sanción.
Protocolo de comunicación revisado y testado
Antes de enviar cualquier comunicación a pacientes sobre un tema tan sensible como el destino de sus embriones criopreservados, el protocolo debería haber sido:
- Redactado por personal con formación en protección de datos sanitarios
- Revisado por el DPO de Cruz Roja
- Validado juridicamente por asesores externos especializados en datos de salud
- Testado con un grupo piloto reducido antes del envio masivo
- Auditado tecnicamente para verificar que no se producirian cruces de datos entre pacientes
Registro de accesos con trazabilidad completa
Todo acceso a los datos de pacientes durante el proceso de transicion debería haber quedado registrado con detalle suficiente:
- Quien accedio (usuario individual, no generico)
- A que dato concreto accedio
- Cuando (fecha y hora exactas)
- Desde que terminal o ubicacion
- Con que justificacion documentada
Estos logs son la primera evidencia que solicito como perito cuando investigo una brecha, y en la mayoria de los casos son insuficientes o inexistentes.
Cifrado punto a punto obligatorio
Cualquier comunicación que contenga datos de pacientes debería estar cifrada tanto en transito (TLS 1.3) como en reposo (AES-256). Esto incluye notificaciones por correo electrónico, envios postales con datos visibles y cualquier transmisión interna entre sistemas.
Caso FUDEN: deficiencias frente al ransomware
El caso FUDEN/Hunters International revela un conjunto diferente de carencias, centradas en la resistencia frente a ataques externos sofisticados:
| Medida de seguridad | Estado probable en FUDEN | Lo que debería haber existido |
|---|---|---|
| Segmentacion de red | Red plana o insuficientemente segmentada | Redes separadas para datos críticos, DMZ, microsegmentacion |
| EDR/XDR | Antivirus tradicional basado en firmás | EDR con detección comportamental |
| MFA en VPN | Probable autenticación simple | MFA obligatorio para todo acceso remoto |
| Monitorizacion exfiltración | Sin DLP ni monitorizacion saliente | DLP, alertas de volumenes anómalos |
| Backups offline | Backups conectados a la red | Regla 3-2-1: 3 copias, 2 medios, 1 offline |
| Tests de penetración | Sin pentesting periodico | Pentesting anual mínimo |
| Formación anti-phishing | Generica o inexistente | Simulacros mensuales con metricas |
| Plan respuesta incidentes | Generico, sin ensayar | Específico ransomware, simulacros trimestrales |
Lo que debería estar implementado según ISO 27001, ENS y RGPD Art. 32
Nivel infraestructura:
- Segmentacion de red con microsegmentacion para sistemás con datos sanitarios
- Cifrado AES-256 para datos en reposo, TLS 1.3 para datos en transito
- Backups siguiendo la regla 3-2-1 con al menos una copia offline o inmutable
- Actualizaciones y parches aplicados en menos de 72 horas para vulnerabilidades críticas
- Gestión centralizada de endpoints con inventario actualizado
Nivel detección y respuesta:
- EDR/XDR desplegado en todos los endpoints con detección comportamental
- SIEM con correlación de eventos y alertas 24/7
- Monitorizacion de trafico de red con detección de exfiltración y DLP
- Plan de respuesta a incidentes específico para datos sanitarios, ensayado trimestralmente
Nivel organizativo:
- DPO con experiencia sanitaria real y formación continua
- Formación obligatoria del personal con simulacros de phishing mensuales
- Auditorias técnicas anuales realizadas por terceros independientes
- EIPD para todo nuevo tratamiento de datos de categoría especial
- Procedimiento documentado de baja de empleados (desactivacion inmediata de accesos)
Nivel documental (crítico para procedimientos AEPD):
- Registro de actividades de tratamiento actualizado y completo
- Politicas de seguridad documentadas y firmadas por el personal
- Actas de formación con asistentes, contenido y evaluación
- Informes de auditorias con hallazgos y planes de remediacion
- Registros de accesos con trazabilidad completa y retención mínima 2 años
En mi experiencia como perito, la documentación es tan importante como las medidas técnicas. He visto organizaciones con buena seguridad técnica que fueron sancionadas porque no podian demostrar lo que habian hecho. Y he visto organizaciones con seguridad mediocre que obtuvieron atenuantes significativos porque podian presentar evidencia documental de sus esfuerzos.
Ante la AEPD, lo que no esta documentado no existe.
Marco legal completo: normativa aplicable a datos sanitarios en España
La protección de datos sanitarios en España se rige por un marco normativo de multiples capas que las organizaciones deben conocer y cumplir de forma simultanea.
Una de las dificultades que encuentro como perito en estos procedimientos es que muchas organizaciones conocen el RGPD pero desconocen la normativa sectorial española que lo complementa y, en algunos casos, lo refuerza con obligaciones adicionales.
Tabla de normativa aplicable
| Normativa | Artículos clave | Ámbito | Relevancia para estos casos |
|---|---|---|---|
| RGPD (UE 2016/679) | Art. 9, 32, 33, 34, 82, 83 | Categorias especiales, seguridad, notificación, indemnizacion, sanciones | Base legal principal para ambas sanciones |
| LOPDGDD (LO 3/2018) | Art. 73-76 | Adaptacion española RGPD, régimen sancionador | Reduccion por reconocimiento responsabilidad |
| Ley 41/2002 | Art. 7, 14-19 | Autonomia paciente, historia clinica | Obligaciones específicas datos pacientes |
| Ley 14/2007 | Art. 5, 45-60 | Investigación biomedica, muestras biologicas | Regulación embriones y datos geneticos |
| Ley 14/2006 | Art. 11, 14 | Reproducción humana asistida | Criopreservacion, confidencialidad tratamientos |
| RD 1720/2007 | Titulo VIII | Medidas seguridad (nivel alto para sanitarios) | Referencia técnica para auditorias |
| ENS (RD 311/2022) | Anexo II | Esquema Nacional de Seguridad | Obligatorio entidades servicios públicos |
| Directiva NIS2 (2022/2555) | Art. 21, 23 | Ciberseguridad entidades esenciales | Obligaciones reforzadas sector sanitario |
RGPD: artículos 32, 33 y 34 en detalle
El artículo 32 RGPD es el que fundamenta la sanción en ambos casos. Establece que el responsable del tratamiento debe implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, teniendo en cuenta:
- El estado de la técnica
- Los costes de aplicación
- La naturaleza, el alcance, el contexto y los fines del tratamiento
- Los riesgos para los derechos y libertades de las personas
En la práctica, esto significa que las medidas de seguridad deben ser proporcionales a la sensibilidad de los datos. No es lo mismo proteger un listado de correos electrónicos que un historial de tratamientos de fertilidad. La AEPD evalua si las medidas eran adecuadas al riesgo inherente, y en ambos casos concluyo que no lo eran.
El artículo 33 establece la obligación de notificación a la autoridad de control en un plazo máximo de 72 horas desde que se tenga conocimiento de la brecha.
Ese plazo es extraordinariamente corto para evaluar el alcance técnico de un incidente complejo. Las primeras 72 horas tras una brecha son caoticas: se intenta contener el incidente, se evalua el daño, se movilizan recursos internos y externos.
Tener un plan de respuesta preestablecido y un perito forense de referencia al que poder llamar inmediatamente marca la diferencia entre una notificación bien documentada y una notificación improvisada que puede agravar la sanción posterior.
El artículo 34 obliga a comunicar la brecha a los afectados cuando existe un riesgo alto para sus derechos y libertades. En el caso de datos sanitarios, reproductivos o geneticos, ese riesgo alto es practicamente automático.
Ley 14/2006 de reproducción humana asistida
Esta ley es directamente aplicable al caso Cruz Roja y anade una capa adicional de protección que muchos analistas han pasado por alto.
Su artículo 14 establece que todos los datos relativos a la utilización de técnicas de reproducción humana asistida deben recogerse en historias clinicas individuales que serán tratadas con las garantías de confidencialidad exigidas por la ley.
El artículo 11 regula específicamente la criopreservacion de embriones y establece obligaciones sobre el consentimiento informado y la trazabilidad del material biologico.
La brecha de Cruz Roja durante la transferencia del banco de embriones no solo infringe el RGPD. Tambien compromete potencialmente las obligaciones de la Ley 14/2006. Esto abre la puerta a procedimientos sancionadores adicionales por parte de las autoridades sanitarias competentes, independientemente de la sanción de la AEPD.
Ley 41/2002 de autonomia del paciente
El artículo 7 consagra el derecho a la confidencialidad: toda persona tiene derecho a que se respete el caracter confidencial de los datos referentes a su salud.
Los artículos 14 a 19 regulan la historia clinica y establecen que los centros sanitarios deben adoptar las medidas organizativas y técnicas necesarias para asegurar que los datos quedan protegidos.
Lo relevante para estos casos es que la Ley 41/2002 crea una obligación de confidencialidad independiente y complementaria al RGPD. Una brecha de datos sanitarios puede ser sancionada simultaneamente por:
- La AEPD (via RGPD/LOPDGDD)
- Las autoridades sanitarias (via Ley 41/2002)
- Los tribunales civiles (responsabilidad civil ante afectados, Art. 82 RGPD)
- Los tribunales penales (si hay dolo o negligencia grave, Art. 197 CP)
Desde mi perspectiva como perito, el problema más frecuente no es el desconocimiento de la normativa, sino la brecha entre lo que esta escrito en los protocolos internos y lo que realmente se ejecuta en el día a dia.
He visto hospitales con politicas de seguridad impecables sobre el papel que luego tienen credenciales compartidas, backups sin cifrar y personal que envia historiales clinicos por email sin ninguna protección.
El caso de Cruz Roja es un recordatorio de que la AEPD no evalua lo que dices que haces, sino lo que realmente hiciste cuando las cosas fallaron.
5 casos de mi experiencia con brechas de datos sanitarios
A lo largo de mi carrera como perito informático forense, he participado en multiples investigaciones relacionadas con brechas de datos en organizaciones sanitarias y del tercer sector.
Sin revelar datos que permitan identificar a las partes, estos cinco casos ilustran patrones que se repiten sistematicamente y que son directamente aplicables a lo ocurrido en Cruz Roja y FUDEN.
Caso 1: clinica de reproducción asistida con acceso no controlado
Una clinica de reproducción asistida me contrato para elaborar un informe pericial después de que un exempleado accediera a los historiales de fertilidad de varias pacientes conocidas publicamente.
El exempleado habia sido despedido tres meses antes, pero sus credenciales de acceso al sistema de gestión clinica seguian activas. Utilizo esas credenciales para acceder desde su domicilio a los historiales completos de tratamiento, incluyendo pruebas geneticas preimplantacionales.
Mi investigación forense revelo que:
- El sistema no tenia logs de acceso remoto
- No implementaba autenticación multifactor
- La politica de desactivacion de cuentas de exempleados era “cuando alguien se acuerde de hacerlo”
- No existia monitorizacion de accesos fuera de horario laboral
Elabore un informe que documento la cadena completa de accesos no autorizados mediante el análisis del servidor VPN y las trazas del sistema de gestión clinica. El caso derivo en una denuncia penal por acceso ilícito a datos (artículo 197 del Código Penal) y en una reclamación civil de las afectadas.
Patron común con Cruz Roja: la gestión de accesos a datos reproductivos sin controles adecuados.
Caso 2: ONG con datos de beneficiarios en servidor sin cifrar
Una ONG internacional con operaciones en España me solicito un análisis forense después de detectar que un servidor que contenia datos de miles de beneficiarios habia sido comprometido.
Los datos incluian informes medicos, situaciones de vulnerabilidad, estatus migratorio y composicion familiar.
El servidor estaba alojado en un proveedor cloud económico, sin cifrado en reposo, con acceso por contraseña simple y sin actualizaciones de seguridad desde hacia 14 meses.
La brecha fue causada por la explotacion de una vulnerabilidad conocida en el sistema operativo que llevaba 9 meses parcheada por el fabricante. El atacante accedio, copio la base de datos completa y la ofrecio en un foro de la dark web por 0,3 BTC.
Mi informe documento la cronologia completa del ataque, las deficiencias de seguridad y recomendo medidas correctoras urgentes. La ONG notifico a la AEPD y, gracias a la cooperacion inmediata y al informe pericial que demostraba las medidas correctoras adoptadas, la sanción se resolvio con un apercibimiento.
Patron común con FUDEN: infraestructura insuficiente para el nivel de sensibilidad de los datos tratados.
Caso 3: hospital privado con ransomware y doble extorsion
Un hospital privado me contrato como perito urgente tras un ataque de ransomware que cifro todos los sistemás clinicos: historiales electrónicos, imagenes diagnosticas y el sistema de gestión de farmacia.
El grupo atacante exfiltro 2,3 TB de datos antes de cifrar los sistemás y público una muestra de 500 historiales clinicos en su sitio de filtraciones como presion para que el hospital pagara el rescate.
Mi trabajo consistio en:
- Documentar el alcance técnico de la brecha para la notificación a la AEPD
- Preservar las evidencias forenses con cadena de custodia
- Elaborar el informe pericial para el procedimiento sancionador
- Identificar el vector de entrada y recomendar medidas correctoras
El vector de entrada fue un correo de phishing dirigido a un medico con privilegios de administrador en el sistema de historiales. El hospital tenia un antivirus básico pero no EDR, no tenia segmentación de red y los backups estaban conectados al mismo dominio (y fueron cifrados junto con todo lo demas).
La sanción de la AEPD fue de 45.000 euros —significativamente inferior a lo que podría haber sido— porque el informe pericial demostro que el hospital habia implementado medidas correctoras exhaustivas dentro de las 72 horas siguientes y habia cooperado plenamente con la investigación.
Patron común con ambos casos: la cooperacion documentada tecnicamente es el factor más determinante en la graduacion de la sanción.
Caso 4: fundación benifica con brecha en plataforma de donantes
Una fundación benifica me solicito un informe pericial después de que un error en su plataforma de donaciones online expusiera los datos de 12.000 donantes.
Los datos incluian nombres, importes donados, datos bancarios parciales y, en algunos casos, notas personales sobre el motivo de la donacion (enfermedad de un familiar, experiencia personal con la causa de la fundación).
La brecha fue causada por una actualizacion del CMS que elimino la protección de un directorio de exportaciones donde se almacenaban copias CSV de la base de datos de donantes.
Mi análisis revelo que las exportaciones CSV se generaban automáticamente cada noche como parte de un proceso de backup casero que nadie en la fundación sabia que existia. Lo habia configurado un voluntario informático tres años antes y nunca se habia revisado.
El directorio estuvo expuesto durante 47 días antes de ser detectado por un donante que lo encontro indexado en Google.
Patron común con Cruz Roja: procesos internos con datos sensibles que carecen de supervision técnica adecuada y que nadie audita.
Caso 5: sindicato sanitario con filtracion interna de datos de afiliados
Un sindicato del sector sanitario me contrato para investigar una posible filtracion interna de datos de afiliados.
La sospecha surgio cuando varios afiliados reportaron haber recibido ofertas comerciales de una empresa de seguros que conocia su especialidad medica, centro de trabajo y antiguedad en el sindicato. Datos que solo podian proceder de la base de datos sindical.
Mi investigación forense revelo que un empleado del sindicato habia estado exportando listados de afiliados y vendiendolos a intermediarios de datos.
El empleado utilizaba su acceso legítimo al sistema de gestión de afiliados, por lo que no se activaron alertas de seguridad. Lo que le delato fue que los volumenes de descarga de informes eran anormalmente altos comparados con sus funciones habituales, pero nadie estaba monitorizando esa metrica.
El informe pericial que elabore fue determinante en el procedimiento laboral contra el empleado y en la notificación a la AEPD. El sindicato demostro haber actuado con diligencia al detectar y denunciar la filtracion, y la sanción se limito a un apercibimiento con obligación de implementar controles de acceso más estrictos y monitorizacion de volumenes de descarga.
Patron común con FUDEN: la afiliacion sindical es un dato especialmente protegido por el artículo 9 del RGPD, y su exposicion requiere medidas de seguridad reforzadas que los sindicatos rara vez implementan.
Leccion común de los cinco casos
Si tuviera que resumir lo que estos cinco casos me han ensenado, diria que el denominador común no es la sofisticacion de los ataques ni la complejidad de la tecnología. Es algo mucho más básico: la desconexion entre la sensibilidad de los datos que una organización gestiona y los recursos que dedica a protegerlos.
Las clinicas de reproducción asistida tratan datos de máxima sensibilidad con sistemás de gestión diseñados para consultas generalistas. Las ONG almacenan información sobre personas en situación de extrema vulnerabilidad en servidores de 20 euros al mes. Los sindicatos guardan copias de DNI de decenas de miles de afiliados sin cifrado ni control de accesos. Los hospitales conectan equipamiento medico crítico a la misma red donde el personal navega por internet.
Todos ellos saben que gestionan datos sensibles. Ninguno de ellos invierte lo que debería en protegerlos.
Y cuando la brecha se produce, el informe pericial que elaboro documenta siempre las mismás deficiencias:
- Falta de cifrado en datos en reposo
- Ausencia de segmentación de red
- Controles de acceso insuficientes o inexistentes
- Backups vulnerables al mismo ataque que compromete los sistemás primarios
- Personal sin formación específica en protección de datos sanitarios
- Planes de respuesta que nadie ha leido y mucho menos ensayado
Esto es lo que la AEPD encontro en Cruz Roja y en FUDEN. Y es lo que sigue encontrando en cada nueva investigación que abre contra el sector sanitario.
Que hacer si tus datos han sido expuestos en una brecha sanitaria
Si eres una de las personas afectadas por las brechas de Cruz Roja o FUDEN, o si sospechas que tus datos sanitarios han sido comprometidos en cualquier otro incidente, estos son los pasos que debes seguir:
Confirma si estas afectado: la organización responsable esta obligada a comunicarte la brecha si existe un riesgo alto para tus derechos (Art. 34 RGPD). Si no has recibido notificación pero sospechas que tus datos estaban en los sistemás afectados, contacta directamente con la organización y ejerce tu derecho de acceso (Art. 15 RGPD) para saber que datos tuyos se vieron comprometidos.
Documenta todo desde el primer momento: guarda la notificación de la brecha, cualquier comunicación con la organización, capturas de pantalla de emails sospechosos que recibas, y cualquier evidencia de uso indebido de tus datos. Esta documentación será esencial si decides reclamar ante la AEPD o por via judicial.
Cambia todas tus contraseñas inmediatamente: empieza por el correo electrónico y las cuentas bancarias. Si reutilizabas la misma contraseña en multiples servicios, cambia todas las que compartan la contraseña comprometida. Activa la autenticación de doble factor (MFA) en todas las cuentas que lo permitan.
Activa alertas de credito y monitorizacion: contacta con CIRBE (Central de Información de Riesgos del Banco de España) para verificar que no se hayan abierto lineas de credito a tu nombre. Si tus datos incluian copias de DNI, presenta una denuncia preventiva ante la Policia Nacional.
Vigila tu historial medico: si tus datos sanitarios fueron expuestos, solicita a tu centro de salud una copia de tu historial clinico y verificalo item por item. El fraude medico —donde alguien utiliza tu identidad para obtener tratamientos— puede tener consecuencias graves para tu salud si se anaden datos incorrectos a tu historial (alergias falsas, grupo sanguineo erroneo, tratamientos no realizados).
Presenta una reclamación ante la AEPD: puedes hacerlo a traves del formulario online de la AEPD. La reclamación es gratuita y no necesitas abogado. Describe la brecha, adjunta la documentación que tengas y explica el impacto concreto en tus derechos.
Evalua una demanda civil por daños y perjuicios: el artículo 82 del RGPD reconoce el derecho de toda persona que haya sufrido daños materiales o inmateriales a recibir una indemnizacion del responsable del tratamiento. Un informe pericial que documente el alcance de la exposicion de tus datos puede ser determinante para cuantificar el daño.
Denuncia ante la policia si detectas fraude: si observas movimientos bancarios no autorizados, aperturas de cuentas a tu nombre o cualquier uso fraudulento de tu identidad, presenta una denuncia ante la Policia Nacional o Guardía Civil. Un análisis forense digital puede documentar tecnicamente el fraude y vincular su origen a la brecha de datos original.
Atencion: plazo para reclamar
La reclamación ante la AEPD no tiene plazo legal específico, pero es recomendable presentarla lo antes posible para que la evidencia este fresca.
Para la demanda civil por daños, el plazo de prescripcion es de 3 años desde que el afectado tuvo conocimiento de la brecha (Art. 1968 Código Civil en relación con Art. 82 RGPD).
No dejes pasar el tiempo.
10 medidas que toda organización sanitaria debe implementar hoy
Los casos de Cruz Roja y FUDEN demuestran que la AEPD no distingue entre grandes corporaciones y entidades del tercer sector a la hora de sancionar.
Basandome en los procedimientos en los que he participado como perito y en las deficiencias que documento repetidamente, estas son las diez medidas que toda organización que trate datos sanitarios debe tener implementadas:
Realizar una EIPD específica para cada categoría de datos sanitarios: no basta con una evaluación de impacto generica. Los datos de salud, geneticos y reproductivos requieren un análisis de riesgo específico que contemple escenarios como brechas, accesos no autorizados, transferencias de titularidad y ataques de ransomware. La EIPD debe revisarse anualmente o ante cualquier cambio significativo.
Implementar cifrado de grado medico en toda la cadena: todo dato sanitario debe estar cifrado en reposo (AES-256 mínimo) y en transito (TLS 1.3). Esto incluye bases de datos, copias de seguridad, archivos adjuntos en email, y cualquier soporte físico (portatiles, USB, discos) que contenga datos de pacientes. Sin excepciones.
Desplegar segmentación de red con microsegmentacion: los sistemás que contienen datos de pacientes deben estar en segmentos de red aislados del resto de la infraestructura. Un ataque de ransomware que entre por el ordenador de recepcion no debería poder alcanzar el servidor de historiales clinicos.
Implementar EDR/XDR con detección comportamental: el antivirus tradicional basado en firmás no detecta el ransomware moderno. Se necesita un EDR con detección comportamental que identifique patrones anómalos como cifrado masivo de archivos, movimiento lateral o exfiltración.
Contratar un DPO con experiencia sanitaria real: el delegado de protección de datos no puede ser un perfil generalista. Necesita conocer la Ley 41/2002, la Ley 14/2007, la Ley 14/2006, el ENS y el RGPD. Y debe tener autoridad real para vetar procesos que no cumplan.
Auditorias técnicas independientes anuales: como mínimo, un análisis forense digital anual que verifique la integridad de los sistemas, la efectividad de los controles de acceso y la capacidad de detección de intrusiones. La auditoria debe ser realizada por un tercero independiente.
Plan de respuesta a incidentes específico y ensayado: un protocolo que contemple la contencion, la preservación de evidencias forenses, la notificación a la AEPD en 72 horas, la comunicación a los afectados y la coordinacion con fuerzas de seguridad. Ensayado con simulacros trimestrales. Un plan que no se prueba no sirve.
Gestión de accesos privilegiados (PAM): cuentas de administrador con MFA obligatorio, rotacion de contraseñas de servicio, monitorizacion de sesiones privilegiadas y desactivacion automática de cuentas de exempleados en un plazo máximo de 24 horas desde la baja.
Formación obligatoria y continuada con metricas: simulacros de phishing mensuales con metricas de clic, formación específica sobre datos sanitarios, procedimientos claros para reportar incidentes y consecuencias reales por incumplimiento. Las organizaciones que miden y comunican sus tasas de phishing reducen el riesgo drasticamente.
Documentar todo con evidencia técnica verificable: actas de formación firmadas, informes de auditorias, registros de accesos, planes de respuesta actualizados, EIPD revisadas. Ante un procedimiento de la AEPD, la diferencia entre 9.000 euros y 500.000 radica en poder demostrar diligencia. Un informe pericial independiente es la forma más efectiva de acreditarlo.
Tabla de coste: prevención vs sanción
| Medida preventiva | Coste anual estimado | Sanción que puede evitar |
|---|---|---|
| EIPD para datos sanitarios | 3.000-8.000 euros | 50.000-300.000 euros |
| EDR/XDR (50 endpoints) | 5.000-15.000 euros | 80.000-500.000 euros |
| Auditoria técnica independiente | 4.000-12.000 euros | 30.000-200.000 euros |
| DPO externalizado sanitario | 6.000-18.000 euros | 50.000-500.000 euros |
| Formación anti-phishing + simulacros | 2.000-5.000 euros | 20.000-100.000 euros |
| Plan respuesta + simulacros | 3.000-8.000 euros | 30.000-200.000 euros |
| Segmentacion de red | 5.000-20.000 euros | 50.000-300.000 euros |
| PAM + gestión accesos | 3.000-10.000 euros | 30.000-200.000 euros |
| Total prevención completa | 31.000-96.000 euros | — |
| Sanción medía datos sanitarios | — | 50.000-200.000 euros |
| Sanción máxima RGPD | — | 20.000.000 euros o 4% facturacion |
La aritmetica es irrefutable. Invertir en prevención cuesta una fraccion de lo que cuesta una sanción. Y eso sin contar:
- El daño reputacional (inestimable para hospitales y clinicas)
- Las demandas civiles de los afectados (1.000-10.000 euros por persona)
- La pérdida de pacientes y confianza
- La posible responsabilidad penal de los administradores
Preguntas frecuentes
Puede la AEPD sancionar a una ONG como Cruz Roja por una brecha de datos?
Si. El RGPD se aplica a cualquier organización que trate datos personales, independientemente de su naturaleza jurídica o finalidad social. Las ONG, fundaciones y entidades sin animo de lucro estan sujetas exactamente a las mismás obligaciones que las empresas privadas.
La AEPD ha sancionado a multiples entidades del tercer sector en los últimos años. El caracter humanitario de Cruz Roja no constituye un atenuante; al contrario, la especial vulnerabilidad de los colectivos que atiende refuerza la obligación de proteger sus datos con las máximás garantías.
Que diferencia hay entre la sanción a Cruz Roja (80.000 euros) y la de FUDEN (9.000 euros)?
La diferencia radica en tres factores. Primero, la naturaleza de los datos: Cruz Roja gestionaba datos reproductivos y geneticos (máxima sensibilidad Art. 9 RGPD), mientras que FUDEN expuso datos personales y sindicales.
Segundo, las circunstancias: la brecha de Cruz Roja fue un fallo organizativo durante un proceso interno (evitable), mientras que FUDEN fue víctima de un ataque externo donde la cooperacion posterior atenuo la sanción.
Tercero, aunque FUDEN afecto a 198.000 personas (más que Cruz Roja), la sensibilidad máxima de los datos reproductivos peso más que el volumen.
Dicho esto, considero ambas sanciones insuficientes.
Necesita mi organización un perito informático si sufre una brecha de datos sanitarios?
Es altamente recomendable. Un perito informático forense puede documentar tecnicamente el alcance real de la brecha, preservar las evidencias digitales con cadena de custodia, elaborar un informe técnico para la notificación a la AEPD y ratificarlo como prueba pericial si el caso llega a via judicial.
En mi experiencia, las organizaciones que aportan un informe pericial riguroso desde el inicio obtienen resoluciónes significativamente más favorables.
Cuanto tiempo tiene una organización para notificar una brecha a la AEPD?
El artículo 33 del RGPD establece un plazo máximo de 72 horas desde que el responsable tenga conocimiento de la brecha. Si el plazo resulta insuficiente, el RGPD permite una notificación por fases, complementando la información inicial en notificaciones sucesivas.
Tener un plan de respuesta preestablecido y un perito forense de referencia marca la diferencia entre una notificación bien documentada y una improvisada que puede agravar la sanción.
Pueden los afectados reclamar una indemnizacion por la brecha?
Si. El artículo 82 del RGPD reconoce expresamente el derecho a indemnizacion por daños materiales o inmateriales. Los daños inmateriales incluyen estres psicologico, ansiedad, pérdida de control sobre datos intimos y miedo a uso indebido futuro.
Las indemnizaciones concedidas por tribunales españoles oscilan entre 1.000 y 10.000 euros por afectado en casos de datos sanitarios, dependiendo de la gravedad y del daño acreditado. Las demandas colectivas son cada vez más frecuentes.
Que es el grupo Hunters International y por que ataca al sector sanitario?
Hunters International emergio en octubre de 2023 como sucesor operativo del desmantelado Hive. Reutiliza buena parte del código de Hive pero con mejoras en evasion y exfiltración.
Prioriza el sector sanitario porque:
- Los hospitales pagan rescates con más frecuencia (61% según Sophos)
- Las defensas suelen ser más debiles que en el sector financiero
- Los datos sanitarios tienen altisimo valor en la dark web
- La interrupcion de servicios puede costar vidas, lo que anade presion
Su modelo es la doble extorsion: exfiltran datos antes de cifrar, asegurandose palanca de negociación independientemente de los backups.
Un informe pericial puede reducir la sanción de la AEPD?
Un informe pericial en si mismo no reduce automáticamente la sanción, pero puede ser determinante en la graduacion.
El artículo 83.2 del RGPD enumera los factores que la AEPD debe considerar:
- Medidas adoptadas para mitigar daños (letra c)
- Grado de cooperacion con la autoridad de control (letra f)
- Medidas técnicas y organizativas previamente aplicadas (letra d)
Un informe pericial independiente proporciona evidencia técnica verificable sobre todos estos atenuantes. He participado en procedimientos donde contribuyo a reducir la sanción entre un 40% y un 70%.
Que normativa específica se aplica a los datos de un banco de embriones?
Los datos de un banco de embriones estan protegidos simultaneamente por:
- RGPD (datos de salud y geneticos, Art. 9)
- LOPDGDD (régimen sancionador español)
- Ley 41/2002 (autonomia paciente, historia clinica)
- Ley 14/2007 (investigación biomedica, muestras biologicas)
- Ley 14/2006 (reproducción humana asistida, criopreservacion)
La convergencia de estas normativas crea un marco de protección excepcionalmente exigente que obliga a aplicar medidas de seguridad de nivel máximo.
Como afecta la directiva NIS2 a las organizaciones sanitarias españolas?
La directiva NIS2 clasifica al sector sanitario como “entidad esencial”, lo que implica:
- Evaluación de riesgos obligatoria
- Gestión de incidentes con plazos estrictos
- Continuidad de negocio garantizada
- Seguridad de la cadena de suministro
- Cifrado obligatorio
Las sanciones NIS2 pueden alcanzar los 10 millones de euros o el 2% de la facturacion. Con la transposición española, las organizaciones sanitarias se enfrentan a un doble frente regulatorio: AEPD por datos y CCN-CERT por ciberseguridad.
Es suficiente un seguro de ciberriesgo para cubrir una sanción de la AEPD?
Las polizas de ciberseguro generalmente cubren:
- Costes de respuesta al incidente (forense, asesoria legal, notificación)
- Indemnizaciones por responsabilidad civil ante terceros
- Gestión de crisis y relaciones públicas
Sin embargo, la mayoria de polizas del mercado español excluyen expresamente las sanciones administrativas de su cobertura, ya que asegurar multas se considera contrario al orden público.
Esto significa que la sanción de la AEPD la pagara la organización de su bolsillo, independientemente del ciberseguro. El seguro puede cubrir el informe pericial y los honorarios de abogados, pero no la multa en si.
Preguntas relacionadas
- AEPD multa a VIU con 650.000 euros por reconocimiento facial en examenes online
- AEPD abre expediente sancionador a Ayesa tras filtracion de Black Basta
- NIS2 en España: ley de ciberseguridad, obligaciones y sanciones
- Ransomware PYMEs: el 57% recupera datos sin pagar rescate
- AEPD sanciona primer caso de deepfake intimo con IA en España
- Análisis forense digital: como funciona y cuando lo necesitas
Conclusión: el sector sanitario necesita sanciones que duelan
Los casos de Cruz Roja y FUDEN revelan una doble realidad que me preocupa profundamente como profesional que trabaja día a día con las consecuencias de estas brechas.
Por un lado, la AEPD esta demostrando que ninguna organización es intocable: ni las ONG más respetadas ni las fundaciones con mejor reputacion estan exentas de sanción cuando fallan en la protección de datos. Eso es positivo y necesario.
Por otro lado, las cuantias de las sanciones son manifiestamente insuficientes para generar un efecto disuasorio real.
80.000 euros para Cruz Roja y 9.000 euros para FUDEN no van a cambiar el comportamiento del sector sanitario.
Cuando la multa por negligencia es menor que el coste de la prevención, el calculo racional de cualquier gestor es asumir el riesgo y pagar la multa si llega.
Y eso es exactamente lo contrario de lo que el RGPD pretendía conseguir.
Con la transposición de la directiva NIS2 al ordenamiento jurídico español, las obligaciones de ciberseguridad para el sector sanitario se van a endurecer significativamente. Las organizaciones que no comiencen a prepararse ahora se encontraran con un doble frente regulatorio: la AEPD por el lado de la protección de datos y el CCN-CERT por el lado de la seguridad de las redes y sistemás de información.
Las sanciones bajo NIS2 pueden alcanzar los 10 millones de euros. Eso si es un número que hace pensar a un consejo de dirección.
Mi recomendación final es directa:
- Si gestionas datos sanitarios y no has realizado una evaluación de impacto en el último año, hazlo ahora
- Si no tienes un plan de respuesta a incidentes probado y actualizado, crealo
- Si no has hecho una auditoria técnica independiente, contratala
- Y si sufres una brecha, contacta con un perito informático forense antes de hacer nada mas
Las primeras 72 horas son críticas tanto para la investigación técnica como para la notificación a la AEPD, y las decisiones que tomes en ese plazo determinaran el resultado del procedimiento.
Referencias
Escudo Digital. (26 Feb 2026). “La AEPD multa a Cruz Roja Española con 80.000 euros por una brecha de datos de pacientes”. escudodigital.com
Confilegal. (13 Feb 2026). “Protección de Datos multa con 9.000 euros a la Fundacion de Enfermeria FUDEN por una brecha de seguridad”. confilegal.com
AEPD. (2025). Memoria Anual 2025: notificaciones de brechas de seguridad. aepd.es
ENISA. (2025). “Threat Landscape: Health Sector”. European Union Agency for Cybersecurity. enisa.europa.eu
INCIBE. (2025). “Valor de los datos sanitarios en mercados clandestinos”. incibe.es
CISA. (2023). “Advisory AA23-305A: Hunters International Ransomware”. cisa.gov
Sophos. (2025). “State of Ransomware in Healthcare 2025”. sophos.com
Ponemon Institute. (2025). “Cost of a Data Breach Report 2025: Healthcare”. ibm.com/security
Trustwave SpiderLabs. (2025). “Dark Web Market Price Index 2025”. trustwave.com
FBI IC3. (2025). “Internet Crime Report 2025: Healthcare Fraud”. ic3.gov
Reglamento General de Protección de Datos (UE) 2016/679. Art. 9 (categorías especiales), Art. 32 (seguridad), Art. 33 (notificación autoridad), Art. 34 (comunicación afectados), Art. 82 (indemnizacion), Art. 83 (sanciones). eur-lex.europa.eu
Ley Organica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales. boe.es
Ley 41/2002 de autonomia del paciente y de derechos y obligaciones en materia de información y documentación clinica. boe.es
Ley 14/2007 de investigación biomedica. boe.es
Ley 14/2006 sobre técnicas de reproducción humana asistida. boe.es
Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad. boe.es
Directiva (UE) 2022/2555 (NIS2) relativa a medidas destinadas a garantizar un elevado nivel común de ciberseguridad. eur-lex.europa.eu
AEPD. Guía para la gestión y notificación de brechas de seguridad. aepd.es
Hunters International. Threat profile y TTPs documentadas por CISA e INCIBE-CERT. incibe.es
Tu organización gestiona datos sanitarios y necesita un informe pericial?
Como perito informático forense, elaboro informes técnicos para procedimientos ante la AEPD, auditorias de cumplimiento RGPD y análisis forense tras brechas de seguridad. He participado en investigaciones que han reducido sanciones entre un 40% y un 70%. Consulta inicial gratuita y sin compromiso.
Más información
