· Jonathan Izquierdo · Ciberseguridad  ·

12 min de lectura

Ciberataques a hospitales españoles: 2.400 ataques semanales en 2026

El sector sanitario español sufre 2.400 ciberataques semanales y el 51% de centros ha sufrido brechas de datos. Análisis de la crisis y cómo protegerse.

El sector sanitario español sufre 2.400 ciberataques semanales y el 51% de centros ha sufrido brechas de datos. Análisis de la crisis y cómo protegerse.

2.400 ciberataques semanales. Un incremento del 47% respecto al año anterior. El 51% de las organizaciones sanitarias españolas ya ha sufrido una brecha de datos. El sector salud se ha convertido en el objetivo prioritario del cibercrimen en España, y las consecuencias van mucho más allá de la pérdida económica: hablamos de historiales clínicos expuestos, operaciones quirúrgicas suspendidas y vidas humanas en riesgo.

Como perito informático forense, analizo en este artículo la dimensión real de la crisis, los casos que han marcado un antes y un después en España, las obligaciones legales que muchos centros desconocen y, sobre todo, qué medidas concretas pueden adoptarse para proteger los datos de los pacientes.

TL;DR: lo que necesitas saber en 30 segundos

AspectoDetalle
Ataques semanales2.400+ ciberataques al sector sanitario español (+47% interanual)
Brechas de datosEl 51% de organizaciones sanitarias españolas han sufrido brechas
Coste medio por brecha10,93 millones de dólares, el más alto de cualquier sector (IBM, 2023)
Amenaza principalRansomware: cifrado de sistemas y extorsión con datos de pacientes
Caso referente en EspañaHospital Clínic de Barcelona (marzo 2023): operaciones suspendidas, 4,5 TB filtrados
Obligaciones legalesRGPD Art. 9 (datos sensibles) + NIS2 (notificación 24-72h, sanciones hasta 10M EUR)
Qué hacer tras un incidentePreservar evidencia, notificar AEPD en 72h, análisis forense, informe pericial

Consulta pericial gratuita →

Datos de pacientes: categoría especial RGPD

Los datos de salud están clasificados como categoría especial bajo el artículo 9 del RGPD. Su tratamiento está prohibido salvo excepciones tasadas, y una brecha que los exponga conlleva sanciones significativamente más severas que las aplicables a datos personales ordinarios. La AEPD puede imponer multas de hasta 20 millones de euros o el 4% de la facturación global.

La magnitud de la crisis: cifras que no mienten

El sector sanitario español atraviesa la peor crisis de ciberseguridad de su historia. Los datos de 2025 y principios de 2026 dibujan un panorama que exige acción inmediata.

Panorama de ciberataques al sector sanitario en España

IndicadorCifraFuente
Ciberataques semanales al sector salud2.400+Check Point Research, 2025
Incremento interanual+47%Check Point Research, 2025
Organizaciones con brechas de datos51%Proofpoint Healthcare Report, 2025
Incidentes gestionados por INCIBE (total España)122.223INCIBE Balance 2025
Consultas Línea 017142.767 (+44,9%)INCIBE Balance 2025
Coste medio brecha sanitaria (global)10,93M USDIBM Cost of a Data Breach 2023
Tiempo medio detección brecha sanitaria231 díasIBM Cost of a Data Breach 2023

Estos números colocan al sector salud como el más atacado y el que más tarda en detectar las intrusiones. La combinación es letal: mientras un banco detecta una brecha en semanas, un hospital puede tardar más de 7 meses en descubrir que sus sistemas están comprometidos.

Por qué los hospitales son el objetivo perfecto

Los ciberdelincuentes atacan hospitales por una razón sencilla: la presión asistencial obliga a pagar. Un hospital con urgencias colapsadas, quirófanos paralizados y sin acceso a historiales clínicos tiene muy poca capacidad de negociación.

Las vulnerabilidades estructurales del sector sanitario español incluyen:

  • Sistemas heredados (legacy): equipos de diagnóstico por imagen, monitores de constantes vitales y sistemas de gestión hospitalaria que funcionan con sistemas operativos sin soporte de seguridad
  • Presupuesto IT insuficiente: la inversión en ciberseguridad sanitaria en España representa una fracción de lo que destinan otros sectores críticos como banca o energía
  • Ausencia de CISO: muchos hospitales públicos y clínicas privadas carecen de un responsable de seguridad de la información dedicado
  • Interconexión de dispositivos médicos: dispositivos IoT médicos (bombas de infusión, marcapasos conectados, monitores) amplían la superficie de ataque
  • Personal sin formación: el personal sanitario prioriza la atención al paciente, y la concienciación en ciberseguridad suele ser escasa o inexistente

El caso que lo cambió todo: Hospital Clínic de Barcelona

El 5 de marzo de 2023, el Hospital Clínic de Barcelona sufrió un ataque de ransomware perpetrado por el grupo RansomHouse que se convirtió en el incidente de ciberseguridad sanitaria más grave de la historia de España (La Vanguardia, 5 marzo 2023).

Cronología del ataque

FechaEvento
5 marzo 2023Detección del ransomware. Se desconectan sistemas. Urgencias, laboratorio y farmacia afectados
6-10 marzoCancelación de 150 intervenciones no urgentes, 3.000 consultas externas y 500 extracciones
11 marzoAgència de Ciberseguretat de Catalunya confirma exfiltración de datos
Abril 2023RansomHouse filtra 4,5 TB de datos en la dark web: historiales, datos de investigación, información personal
Meses posterioresReconstrucción progresiva de sistemas. Coste total estimado en varios millones de euros

El ataque expuso las vulnerabilidades de un hospital de referencia internacional: no había segmentación de red adecuada, los sistemas de backup no permitían una recuperación rápida y la respuesta ante incidentes no estaba ensayada.

Lección forense del caso Clínic

Desde la perspectiva del peritaje informático, el caso del Hospital Clínic demuestra que la preservación de evidencia digital debe iniciarse en el mismo momento de la detección, no días después. Cada minuto sin aislamiento forense es evidencia potencial que se pierde: logs sobrescritos, conexiones activas del atacante no documentadas y artefactos volátiles en memoria RAM que desaparecen con cada reinicio.

Otros incidentes sanitarios relevantes en España

El Hospital Clínic no es un caso aislado. En los últimos años, varios centros sanitarios españoles han sido víctimas de ciberataques:

  • Hospital de Torrejón de Ardoz (Madrid, enero 2020): primer hospital español atacado con ransomware, sistemas informáticos inoperativos durante días (El País)
  • Servicio Público de Empleo Estatal (SEPE, marzo 2021): aunque no es sanitario, el ransomware Ryuk paralizó un servicio público esencial, demostrando la vulnerabilidad de la infraestructura crítica española
  • Hospitales y centros de salud durante la pandemia COVID-19: INTERPOL y el CCN-CERT alertaron de ataques masivos contra infraestructuras sanitarias durante 2020-2021, aprovechando la saturación de los sistemas

Tipos de ciberataques al sector sanitario

No todos los ataques son iguales. Cada vector tiene implicaciones distintas para la seguridad del paciente y las obligaciones legales del centro.

Comparativa de amenazas por tipo de ataque

Tipo de ataqueMétodoImpacto en el hospitalDatos afectadosFrecuencia
RansomwareCifrado de sistemas completosParalización total: urgencias, quirófanos, farmaciaHistoriales, imágenes diagnósticas, recetasAlto
PhishingCorreos fraudulentos al personalRobo de credenciales, puerta de entrada para ransomwareCredenciales de acceso, datos de empleadosMuy alto
Exfiltración de datosAcceso no autorizado a bases de datosVenta de historiales en la dark webDatos completos de pacientes, investigaciónMedio
Ataque a dispositivos IoT médicosExplotación de vulnerabilidades en equipos conectadosManipulación de equipos, denegación de servicioDatos biométricos, constantes vitalesCreciente
Ataque a la cadena de suministroCompromiso de proveedores de software sanitarioAcceso masivo a múltiples centros simultáneamenteDepende del proveedor comprometidoCreciente
Ingeniería socialSuplantación de identidad (directivos, proveedores)Transferencias fraudulentas, acceso a sistemasDatos financieros y administrativosAlto

La crisis de ciberseguridad sanitaria no solo es un problema técnico: es un problema legal. Los centros sanitarios españoles están sujetos a un marco normativo exigente que muchos desconocen o incumplen.

RGPD: datos de salud como categoría especial

El Reglamento General de Protección de Datos clasifica los datos de salud como datos de categoría especial (artículo 9). Esto implica:

  • Prohibición general de tratamiento, salvo excepciones tasadas (consentimiento explícito, interés vital, asistencia sanitaria)
  • Evaluación de impacto obligatoria (DPIA) para tratamientos a gran escala de datos sanitarios
  • Medidas de seguridad reforzadas bajo el artículo 32: cifrado, seudonimización, pruebas periódicas de eficacia
  • Notificación a la AEPD en 72 horas tras detectar una brecha que afecte a datos personales (artículo 33)
  • Comunicación a los afectados si la brecha supone un alto riesgo para sus derechos (artículo 34)

La Agencia Española de Protección de Datos (AEPD) ha demostrado que sanciona activamente al sector: en 2025 impuso una multa de 10 millones de euros a AENA por el uso de reconocimiento facial sin base legal adecuada, la mayor sanción de su historia (AEPD, Resolución PS/00120/2024).

NIS2: las nuevas obligaciones para el sector sanitario

La Directiva NIS2 (Directiva (UE) 2022/2555) clasifica al sector sanitario como entidad esencial, lo que impone obligaciones adicionales que España debe transponer a su ordenamiento jurídico.

Obligación NIS2PlazoSanción por incumplimiento
Notificación de alerta temprana24 horas desde detecciónHasta 10 millones EUR o 2% facturación global
Notificación completa del incidente72 horas desde detecciónHasta 10 millones EUR o 2% facturación global
Informe final detallado1 mes desde notificaciónHasta 10 millones EUR o 2% facturación global
Evaluación de riesgos periódicaContinuaHasta 10 millones EUR o 2% facturación global
Seguridad en la cadena de suministroContinuaHasta 10 millones EUR o 2% facturación global
Formación en ciberseguridad del personal directivoContinuaResponsabilidad personal de directivos
Plan de respuesta ante incidentesObligatorioHasta 10 millones EUR o 2% facturación global
Responsabilidad personal de directivos bajo NIS2

NIS2 introduce una novedad importante: la responsabilidad personal de los órganos de dirección. Los directivos de centros sanitarios que no garanticen el cumplimiento de las medidas de ciberseguridad pueden enfrentarse a sanciones individuales, incluyendo la inhabilitación temporal para ejercer funciones directivas.

CCN-CERT: la referencia para centros públicos

El Centro Criptológico Nacional (CCN-CERT) es el organismo de referencia para la ciberseguridad del sector público español, incluidos hospitales y centros de salud del Sistema Nacional de Salud. Publica:

  • Guías CCN-STIC: estándares de seguridad obligatorios para la Administración
  • Alertas y avisos tempranos: notificaciones de vulnerabilidades que afectan a sistemas sanitarios
  • Herramientas de detección: soluciones como LUCIA, CARMEN o REYES para monitorización de amenazas

Cómo proteger tu centro sanitario: guía práctica

La protección efectiva de un centro sanitario requiere un enfoque integral que combine tecnología, procesos y formación. Estas son las medidas prioritarias:

  1. Segmentación de red: separar las redes de equipos médicos (ecógrafos, TAC, resonancias) de las redes administrativas y de acceso público (WiFi pacientes). Un ransomware que entre por un correo de administración no debe poder alcanzar los sistemas de soporte vital

  2. Copias de seguridad aisladas (air-gapped): mantener backups desconectados de la red principal, con pruebas periódicas de restauración. El Hospital Clínic tardó semanas en recuperarse porque sus backups no estaban suficientemente aislados

  3. Plan de respuesta ante incidentes documentado y ensayado: no basta con tener un documento. Hay que realizar simulacros al menos dos veces al año, incluyendo escenarios de ransomware con afectación a urgencias y quirófanos

  4. Formación continua al personal sanitario: programas de concienciación adaptados a la realidad del personal clínico. Los ejercicios de phishing simulado son especialmente efectivos cuando se contextualizan en el entorno hospitalario (correos sobre turnos, nóminas, protocolos COVID)

  5. Gestión de vulnerabilidades en dispositivos médicos: inventariar todos los dispositivos IoT conectados, aplicar parches del fabricante o, cuando no sea posible, aislarlos en segmentos de red dedicados con monitorización activa

  6. Cifrado de datos en reposo y en tránsito: todos los historiales clínicos, imágenes diagnósticas y datos de investigación deben estar cifrados tanto en almacenamiento como durante su transmisión entre sistemas

  7. Auditoría de seguridad y análisis forense periódico: evaluar el estado real de la infraestructura mediante auditorías técnicas independientes, no solo auditorías de cumplimiento normativo

El papel del perito informático forense en incidentes sanitarios

Cuando un centro sanitario sufre un ciberataque, la intervención de un perito informático forense es fundamental en tres momentos distintos:

Antes del incidente: auditoría preventiva

Una auditoría de ciberseguridad identifica vulnerabilidades antes de que los atacantes las exploten. El informe pericial resultante:

  • Documenta el estado real de la infraestructura con evidencia técnica
  • Identifica los vectores de ataque más probables según la configuración del centro
  • Proporciona recomendaciones priorizadas por riesgo e impacto
  • Sirve como prueba de diligencia ante posibles reclamaciones o sanciones de la AEPD

Durante el incidente: preservación de evidencia y análisis

Las primeras horas tras la detección de un ciberataque son críticas. Un perito forense:

  • Preserva la evidencia digital siguiendo cadena de custodia (ISO 27037)
  • Identifica el vector de entrada: cómo accedió el atacante, qué vulnerabilidad explotó
  • Determina el alcance: qué sistemas fueron comprometidos, qué datos fueron exfiltrados
  • Apoya la contención: asesoramiento técnico para detener la propagación sin destruir evidencia

El informe pericial es la pieza clave para:

  • Notificar a la AEPD con información técnica precisa sobre el alcance de la brecha
  • Defender al centro ante posibles sanciones, demostrando que se adoptaron medidas de seguridad adecuadas
  • Fundamentar denuncias penales contra los atacantes (arts. 197 bis, 264 y 264 bis del Código Penal)
  • Reclamaciones al seguro: muchas pólizas de ciberseguro requieren un informe forense independiente

¿Tu centro sanitario necesita protección o ha sufrido un incidente?

Ofrecemos análisis forense tras incidentes de ciberseguridad y auditorías preventivas para centros sanitarios. Primera consulta gratuita y sin compromiso.

Solicitar consulta gratuita

Preguntas frecuentes

¿Qué debe hacer un hospital inmediatamente después de detectar un ciberataque?

Lo primero es no apagar los sistemas de forma desordenada. Los pasos inmediatos son: (1) aislar los sistemas afectados de la red para contener la propagación, (2) activar el plan de respuesta ante incidentes, (3) preservar evidencia digital (logs, capturas de memoria RAM, estados de red), (4) notificar al CCN-CERT si es centro público o a INCIBE si es privado, (5) contactar con un perito informático forense para iniciar la investigación. La notificación a la AEPD debe realizarse en un máximo de 72 horas si se han visto afectados datos personales de pacientes.

¿Puede un hospital ser sancionado por la AEPD tras sufrir un ciberataque?

Sí. La AEPD puede sancionar al centro sanitario si determina que las medidas de seguridad eran insuficientes conforme al artículo 32 del RGPD. El hecho de ser víctima de un ataque no exime de responsabilidad: lo que evalúa la AEPD es si el centro había adoptado medidas técnicas y organizativas adecuadas al riesgo. Un informe pericial que documente las medidas implementadas previamente y la respuesta al incidente es una herramienta de defensa fundamental. Las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación global.

¿Qué diferencia hay entre las obligaciones del RGPD y las de NIS2 para un hospital?

El RGPD se centra en la protección de datos personales (incluidos los de salud) y obliga a notificar brechas a la AEPD en 72 horas. NIS2 va más allá: regula la ciberseguridad integral de las entidades esenciales, exigiendo notificación de alertas en 24 horas, evaluaciones de riesgos continuas, seguridad en la cadena de suministro y formación obligatoria del personal directivo. Un hospital debe cumplir ambas normativas simultáneamente. NIS2 añade además la responsabilidad personal de los directivos, algo que el RGPD no contempla de forma tan directa.

Conclusión: actuar antes de que sea demasiado tarde

Los 2.400 ciberataques semanales al sector sanitario español no son una estadística abstracta. Son quirófanos paralizados, historiales de pacientes vendidos en la dark web y centros que tardan meses en recuperar la normalidad operativa.

El marco legal —RGPD y NIS2— ya establece obligaciones claras y sanciones severas. Pero la protección real no viene del cumplimiento formal: viene de implementar medidas técnicas efectivas, ensayar planes de respuesta y contar con profesionales que puedan actuar tanto en la prevención como en la investigación post-incidente.

Si diriges o gestionas un centro sanitario en España, la pregunta no es si sufrirás un ciberataque. La pregunta es cuándo, y si estarás preparado.

Referencias y fuentes

  1. Check Point Research (2025). Cyber Attacks on the Healthcare Sector. checkpointresearch.com
  2. Proofpoint (2025). Healthcare Cybersecurity Report: Breaches and Trends. proofpoint.com
  3. IBM Security (2023). Cost of a Data Breach Report 2023. ibm.com/security
  4. INCIBE (2026). Balance de ciberseguridad 2025. incibe.es
  5. Agencia Española de Protección de Datos (2024). Resolución PS/00120/2024 - AENA. aepd.es
  6. La Vanguardia (5 marzo 2023). El Hospital Clínic de Barcelona sufre un ciberataque tipo ransomware. lavanguardia.com
  7. Diario Oficial de la Unión Europea (2022). Directiva (UE) 2022/2555 (NIS2). eur-lex.europa.eu
  8. Reglamento (UE) 2016/679 del Parlamento Europeo - RGPD. eur-lex.europa.eu
  9. CCN-CERT (2025). Informes y guías CCN-STIC. ccn-cert.cni.es
  10. El País (enero 2020). El Hospital de Torrejón de Ardoz sufre un ciberataque. elpais.com

Artículo redactado por Jonathan Izquierdo, perito informático forense. Última actualización: 23 de febrero de 2026.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Ciberseguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp