FUDEN y SATSE: brecha de datos expone a 198.000 enfermeros y la AEPD multa con solo 9.000 euros

198.000 personas. Nombre completo, DNI escaneado, fecha de nacimiento, teléfono y correo electrónico. Todo expuesto por un grupo de ransomware que opero durante meses dentro de los sistemás de una fundación sanitaria. La Fundacion para el Desarrollo de la Enfermeria (FUDEN), vinculada al sindicato SATSE, sufrio un ciberataque del grupo Hunters International que inicialmente se estimo en 50.000 afectados y que, tras la investigación de la AEPD, resulto afectar a casí cuatro veces más personas (Confilegal, 13 Feb 2026).

9.000 euros por exponer los datos de 198.000 personas. Eso sale a 0,045 euros por persona. Como perito que ha visto el impacto real de estas brechas, me parece una cifra que no desincentiva absolutamente nada. He trabajado con organizaciones sanitarias que tienen menos presupuesto de seguridad que de cafeteria, y esta multa les confirma que no pasa nada por seguir así. Ese es precisamente el problema que voy a desgranar en este artículo con la profundidad que merece un incidente de esta magnitud.

Cronologia del ataque: de 50.000 a 198.000 afectados

El ciberataque a FUDEN sigue un patrón que he visto repetirse en multiples investigaciones forenses: la magnitud real del incidente no se conoce hasta semanas o meses después del ataque inicial. Esta escalacion de 50.000 a 198.000 afectados no es un error de calculo menor. Es un indicador forense que apunta a problemás estructurales en la gestión de datos de la organización. Cuando la cifra se multiplica por cuatro, lo que esta ocurriendo es que la organización no sabia exactamente que datos tenia, donde los tenia ni cuantas personas estaban registradas en sus sistemas.

Esta es la secuencia de hechos según la documentación pública disponible:

Lo que más me preocupa como perito forense es la diferencia entre la estimacion inicial y la cifra final. Pasar de 50.000 a 198.000 afectados indica que la organización no tenia una visibilidad completa de los datos que almacenaba, o que la investigación forense inicial fue insuficiente. En mi experiencia, esto ocurre cuando no existe un inventario actualizado de activos de datos ni un registro de actividades de tratamiento riguroso (INCIBE, 2026).

He visto exactamente este patrón en al menos tres investigaciones periciales en los últimos dos años. Una organización sufre un ataque, hace un recuento inicial basado en la base de datos que sabe que fue comprometida, y semanas después descubre que habia copias de datos en servidores secundarios, respaldos antiguos sin cifrar, bases de datos legacy que nadie sabia que seguian activas o ficheros compartidos en red que contenian exportaciones historicas. La escalacion de 50K a 198K no es un misterio forense: es la consecuencia directa de no tener un mapa completo de los datos que gestionas.

La ventana crítica de las primeras 72 horas

El RGPD establece en su artículo 33 que la notificación a la autoridad de control debe realizarse dentro de las 72 horas siguientes al momento en que el responsable del tratamiento tenga conocimiento de la brecha. Este plazo es extremadamente corto para un incidente de la magnitud del que sufrio FUDEN, y es precisamente por eso que tener protocolos de respuesta a incidentes bien definidos y probados es fundamental.

En mi experiencia, las primeras 72 horas después de un ataque de ransomware son caoticas. El personal de TI esta intentando restaurar sistemas, la dirección quiere saber cuando se reanuda la actividad normal, los empleados no pueden trabajar y nadie tiene claro quien toma las decisiones críticas. En ese contexto, estimar correctamente el número de afectados es practicamente imposible sin un análisis forense profesional. FUDEN estimo 50.000 personas en ese periodo de crisis. La cifra real resulto ser casí cuatro veces mayor.

No crítico que la estimacion inicial fuera incorrecta: en un escenario de crisis, las primeras cifras siempre son provisionales. Lo que si crítico es que una organización que gestiona datos de casí 200.000 personas no tuviera la infraestructura necesaria para responder con precision desde el primer momento. Eso es lo que un inventario de datos actualizado, un sistema de clasificacion de información y un plan de respuesta a incidentes probado habrían permitido.

Hunters International: perfil completo del grupo atacante

Hunters International es un grupo de ransomware que opera bajo el modelo de ransomware-as-a-service (RaaS). Aparecio a finales de 2023 y se ha vinculado con la reutilizacion de código del desaparecido grupo Hive, desmantelado por el FBI en enero de 2023 tras una operación encubierta de meses. A diferencia de otros grupos que priorizan el cifrado como palanca principal de presion, Hunters International se especializa en la exfiltración masiva de datos antes del cifrado, lo que les da una doble palanca de extorsion: pagar para recuperar los archivos y pagar para evitar la publicacion de los datos robados (SOCRadar, 2024).

Origen y vinculación con Hive

Cuando el FBI desmantelo Hive en enero de 2023, muchos analistas pensaron que la amenaza habia desaparecido. Lo que ocurrio es más preocupante: el código fuente de Hive fue reutilizado. Hunters International aparecio meses después con herramientas que compartian más del 60% del código de Hive, según análisis de empresas como Bitdefender y Group-IB. El grupo nego ser una continuacion de Hive, afirmando que simplemente habian adquirido el código fuente y lo habian mejorado (BleepingComputer, 2024).

Esta distincion es relevante desde el punto de vista forense porque las herramientas de detección calibradas para Hive son parcialmente efectivas contra Hunters International. Los indicadores de compromiso (IoC) han cambiado, pero los patrones de comportamiento mantienen similitudes significativas, especialmente en la fase de movimiento lateral y en las técnicas de evasion de antivirus.

Tacticas, técnicas y procedimientos (TTPs)

Como perito que ha analizado ataques de ransomware desde la perspectiva forense, me resulta útil desglosar las TTPs conocidas de Hunters International para que las organizaciones puedan evaluar su exposicion:

Lo que me parece especialmente peligroso de Hunters International es su enfoque metodico en la exfiltración. No cifran y piden rescate sin mas. Dedican días o semanas a identificar los datos más valiosos de la organización, los extraen de forma controlada para evitar la detección por volumen de trafico y solo entonces activan el cifrado. Cuando la víctima descubre el ataque, los datos ya estan fuera. El cifrado es casí secundario: la verdadera amenaza es la publicacion.

Modelo económico de la doble extorsion

El modelo de negocio de Hunters International es sofisticado. Como grupo RaaS, proporcionan la infraestructura (panel de control, ransomware, sitio de filtracion, servicio de negociación) y los afiliados ejecutan los ataques a cambio de un porcentaje del rescate, que tipicamente oscila entre el 70% y el 80% para el afiliado. Esto significa que el grupo opera como una empresa de servicios para ciberdelincuentes: cuanto más fácil sea usar sus herramientas, más ataques se producen y más beneficios generan (ENISA, 2025).

Las demandas de rescate de Hunters International oscilan tipicamente entre los 100.000 y los 5 millones de euros, dependiendo del tamaño de la organización y del volumen de datos exfiltrados. Para una organización como FUDEN, con 198.000 registros que incluyen copias de DNI, el rescate probablemente se situo en el rango de 500.000 a 1.000.000 de euros. No sabemos si FUDEN pago. Lo que si sabemos es que la multa de la AEPD es 55 a 110 veces menor que el rescate probable.

Victimás conocidas y patrón de selección de objetivos

Hunters International ha atacado organizaciones en más de 30 paises, con un enfoque particular en el sector sanitario, educativo y de servicios profesionales. La selección de FUDEN encaja perfectamente en su perfil de víctimas: organizaciones que gestionan grandes volumenes de datos personales, que no pertenecen al sector de infraestructuras críticas (donde el escrutinio policial es mayor) y que tienen una percepción pública de menor madurez en ciberseguridad.

En mi opinion profesional, que el atacante sea un grupo RaaS tiene implicaciones directas para la investigación forense y para la evaluación de responsabilidades:

• Herramientas estandarizadas: Los afiliados de Hunters International usan kits de intrusion compartidos, lo que facilita la identificación de indicadores de compromiso (IoC) si se actua rápido
• Exfiltración confirmada: El modelo de doble extorsion implica que los datos no solo fueron cifrados, sino que salieron de la red de FUDEN antes del cifrado
• Publicacion en dark web: Los datos de los 198.000 enfermeros pueden estar disponibles en los sitios de filtracion del grupo
• Tiempo de permanencia: Los grupos RaaS suelen permanecer semanas dentro de la red antes del cifrado final, mapeando la infraestructura y maximizando el volumen de datos exfiltrados
• Detección posible: Si FUDEN hubiera tenido un EDR correctamente configurado y monitorizacion de trafico saliente, la exfiltración podría haberse detectado antes de que se completara

Cuando me llaman después de un ataque de ransomware, lo primero que hago es verificar si hubo exfiltración antes del cifrado. Es la diferencia entre un incidente de disponibilidad y una brecha de datos personales con obligación de notificación. En el caso de FUDEN, la exfiltración esta confirmada, lo que agrava enormemente el impacto real sobre los afectados.

Por que el sector sanitario es el objetivo número uno

El sector sanitario es el más atacado por grupos de ransomware a nivel mundial, y España no es la excepción. Según el informe de IBM Security de 2025, el coste medio de una brecha de datos en el sector sanitario es de 10,93 millones de dolares, el más alto de cualquier industria durante 13 años consecutivos (IBM Security, 2025). Los motivos son estructurales y, como perito que ha trabajado con organizaciones sanitarias, los conozco de primera mano.

Factores de vulnerabilidad críticos

He trabajado con organizaciones sanitarias que tienen menos presupuesto de seguridad que de cafeteria. No es una exageracion. He visto centros con 500 empleados donde el presupuesto anual completo de ciberseguridad era de 12.000 euros, incluyendo antivirus, firewall y formación. El cafe de la maquina expendedora les costaba mas. Y cuando les explico que un EDR correctamente desplegado cuesta entre 15.000 y 30.000 euros anuales, me miran como si les estuviera proponiendo enviar un cohete a Marte.

El problema de los sistemás legacy en el sector sanitario

Un factor agravante que no se discute lo suficiente es la prevalencia de sistemás obsoletos en el sector sanitario. He encontrado en mis investigaciones servidores con Windows Server 2012 sin soporte, aplicaciones medicas que solo funcionan en Java 6, bases de datos con versiones de 2015 sin parches de seguridad y VPNs con protocolos criptograficos obsoletos. Estos sistemás no se actualizan porque el software medico que ejecutan no es compatible con versiones nuevas, y reemplazar el software medico implica presupuestos de cientos de miles de euros y procesos de certificación que pueden durar años.

Esto crea un circulo vicioso: los sistemás legacy son vulnerables, pero actualizarlos es caro y complejo. Las organizaciones aplazan la actualizacion indefinidamente porque “funciona”. Y los grupos de ransomware explotan exactamente esas vulnerabilidades conocidas en sistemás sin soporte para las que existen exploits públicos.

En el caso de FUDEN, aunque no se ha publicado información sobre los sistemás específicos comprometidos, el patrón del sector sugiere con alta probabilidad que la infraestructura tenia componentes obsoletos y sin soporte. Es una apuesta estadistica segura: en mi experiencia, el 80% de las organizaciones del sector sanitario y social en España tienen al menos un sistema crítico en una versión sin soporte del fabricante.

La brecha formativa en ciberseguridad

Otro factor estructural es la falta de formación en ciberseguridad del personal. En organizaciones como FUDEN, cuya actividad principal es la formación de enfermeros, la ciberseguridad no es una prioridad formativa. El personal administrativo que gestiona los datos de los 198.000 asociados probablemente no ha recibido formación específica sobre como identificar correos de phishing, como manejar datos sensibles de forma segura o como reportar un incidente de seguridad.

Según datos de ENISA, el factor humaño (phishing, errores de configuración, credenciales debiles) es responsable del 82% de las brechas de datos en Europa. Invertir en formación de ciberseguridad para todo el personal es la medida más rentable que existe: cuesta entre 2.000 y 5.000 euros anuales para una organización de 50-100 empleados y puede reducir el riesgo de brecha en un 60-70%.

Comparativa con HIPAA (Estados Unidos)

Para poner en perspectiva la laxitud del régimen sancionador español, merece la pena comparar con HIPAA, la normativa estadounidense de protección de datos sanitarios:

En Estados Unidos, una brecha de 198.000 registros con copias de documentos de identidad habría supuesto una sanción mínima de varios cientos de miles de dolares, investigaciones del Office for Civil Rights (OCR), publicacion obligatoria en el “Wall of Shame” del HHS y, con alta probabilidad, demandas colectivas (class actions) que habrían costado millones. En España, 9.000 euros.

La paradoja de la cooperacion como atenuante

Hay un problema lógico en la forma en que la AEPD aplica los atenuantes que quiero senalar explicitamente. Cuando la AEPD reduce la sanción porque FUDEN notifico la brecha a la autoridad y a los afectados, esta premiando el cumplimiento de una obligación legal. El artículo 33 del RGPD obliga a notificar a la autoridad de control. El artículo 34 obliga a comunicar a los afectados cuando la brecha suponga un riesgo alto. No son acciones voluntarias: son obligaciones legales cuyo incumplimiento conlleva sanciones adicionales.

Es como si un conductor que ha causado un accidente por conduccion temeraria recibiera una reduccion de la multa por haberse detenido en lugar de darse a la fuga. Detenerse es lo que la ley exige. El merito real estaría en no haber conducido temerariamente. En el caso de FUDEN, el merito estaría en haber tenido las medidas de seguridad que habrían evitado la brecha, no en haber cumplido con el procedimiento posterior.

Esta paradoja crea un incentivo perverso documentable: la forma más eficiente de minimizar la sanción de la AEPD no es invertir en seguridad (que cuesta 50.000-100.000 euros anuales), sino tener un buen protocolo de comunicación post-incidente (que cuesta 5.000-10.000 euros una vez). Cooperar después del incidente sale más barato que prevenirlo. Y eso es exactamente lo contrario de lo que el RGPD pretendía conseguir.

He compartido esta reflexion con abogados especializados en protección de datos y la mayoria coinciden: el peso de los atenuantes post-incidente en la graduacion de las sanciones de la AEPD es excesivo en comparación con el peso que se da a las medidas de seguridad previas. No es un problema exclusivo del caso FUDEN, pero este caso lo ilustra con una claridad casí didactica.

Brechas sanitarias en la Union Europea: comparativa real

La desproporcion no se limita a la comparativa transatlantica. Dentro de la propia Union Europea, las autoridades de protección de datos aplican criterios muy diferentes para incidentes comparables:

La tabla es demoledora. Portugal multo con 400.000 euros a un hospital por una brecha que afecto a 8 personas (acceso indebido de personal no autorizado a historiales clinicos). España multa con 9.000 euros una brecha que afecta a 198.000 personas con copias de DNI expuestas. No encuentro una lógica proporcional que justifique esta disparidad. La autoridad portuguesa considero que la gravedad del acceso indebido a datos sanitarios justificaba una sanción ejemplar. La AEPD ha considerado que la cooperacion post-incidente de FUDEN justifica una sanción testimonial.

(CNIL, 2021)

Los datos expuestos: por que una copia del DNI es especialmente peligrosa

La tipologia de datos expuestos en esta brecha no es trivial. Veamos el riesgo asociado a cada categoría:

La copia del DNI es el dato más peligroso de toda la brecha. Con un DNI escaneado, un atacante puede abrir cuentas bancarias online, contratar lineas de teléfono, solicitar creditos rápidos o suplantar completamente la identidad de la víctima. Y a diferencia de una contraseña, un DNI no se puede cambiar. Los 198.000 enfermeros afectados van a tener que vigilar su identidad financiera durante años.

En mi práctica como perito forense he visto casos donde una sola copia de DNI filtrada genero fraudes superiores a 15.000 euros por víctima. Multiplicado por 198.000 personas, el potencial de daño es de ordenes de magnitud superior a la multa impuesta.

Escenarios detallados de fraude con DNI escaneado

Para que se entienda la gravedad real de tener una copia de tu DNI circulando por la dark web, estos son los escenarios de fraude que he documentado en mis informes periciales:

Escenario 1: Apertura de cuentas bancarias online. En España, muchas entidades fintech y neobancos permiten abrir cuentas con una fotografia del DNI y un selfie. Un atacante con acceso al DNI escaneado de la víctima puede generar un selfie convincente utilizando herramientas de deepfake o, simplemente, buscar fotos de la víctima en redes sociales. He peritado un caso donde un afectado por una brecha de datos descubrio 4 cuentas bancarias abiertas a su nombre en entidades fintech que nunca habia utilizado, con un saldo negativo combinado de 23.000 euros.

Escenario 2: Contratacion de lineas de teléfono. Con una copia del DNI, un atacante puede contratar lineas de teléfono prepago o postpago que luego se utilizan para cometer otros delitos: estafas telefonicas, SIM swapping contra terceros o creacion de cuentas en plataformás que requieren verificación por SMS. La víctima puede verse involucrada en investigaciones policiales por delitos que no ha cometido.

Escenario 3: Solicitud de creditos rápidos. Las plataformás de creditos rápidos online tienen verificaciones de identidad mínimas. Con el nombre completo, fecha de nacimiento, DNI y teléfono, un atacante puede solicitar multiples creditos de 300 a 3.000 euros que la víctima desconoce hasta que empiezan a llegar las reclamaciones de impago. He documentado pericialmente un caso donde la víctima acumulo 11 creditos fraudulentos por un total de 18.700 euros.

Escenario 4: Suplantacion ante administraciones públicas. El DNI es el documento de identificación ante la Administración. Un atacante sofisticado puede intentar obtener un certificado digital a nombre de la víctima, lo que abre la puerta a presentar declaraciones de impuestos fraudulentas, modificar datos en el padron municipal o acceder a servicios públicos digitales.

Escenario 5: Fraude laboral. El DNI escaneado puede utilizarse para dar de alta a la víctima en empresas ficticias, generando contratos de trabajo falsos que se usan para solicitar prestaciones, blanquear dinero o crear la apariencia de actividad económica legítima. He peritado un caso donde una víctima de brecha de datos fue dada de alta en tres empresas en las que nunca habia trabajado.

El efecto cascada: datos combinados multiplican el riesgo

Lo que hace esta brecha especialmente peligrosa es que no se filtro un solo tipo de dato, sino un paquete completo de identidad. Un nombre suelto tiene poco valor en la dark web. Un nombre con DNI escaneado, fecha de nacimiento, teléfono y email es un kit de suplantacion de identidad listo para usar. Los ciberdelincuentes que compran estos paquetes en foros underground no necesitan hacer ningun trabajo adicional de enriquecimiento: ya tienen todo lo necesario para pasar las verificaciones de identidad de la mayoria de servicios financieros online en España.

Ademas, el hecho de que los afectados sean profesionales sanitarios anade un factor de riesgo adicional. Los enfermeros tienen acceso a sistemás de salud, recetan medicamentos en algunos ámbitos y manejan datos de pacientes. Un atacante que suplante la identidad de un enfermero podría intentar acceder a sistemás sanitarios o utilizar las credenciales profesionales para esquemás de fraude más sofisticados.

He analizado en otros informes periciales como los datos sanitarios filtrados acaban en mercados de la dark web entre 24 y 72 horas después del ataque. En el caso de Hunters International, que opera un sitio de filtracion (leak site) donde publican los datos de las víctimás que no pagan el rescate, es razonable asumir que los datos de los 198.000 enfermeros ya estan disponibles para su compra. El precio medio de un paquete de identidad completo (nombre, DNI, fecha nacimiento, teléfono, email) en mercados underground oscila entre 15 y 50 euros por registro. Eso significa que los datos de FUDEN podrían haberse vendido por entre 3 y 10 millones de euros, un beneficio que hace que la multa de 9.000 euros resulte aun más absurda.

La multa de 9.000 euros: análisis crítico

Aqui es donde necesito ser directo. En mi opinion profesional, 9.000 euros por exponer datos de 198.000 personas es una sanción que no desincentiva. Pongamoslo en perspectiva:

La desproporcion es grotesca. La AEPD ha considerado atenuantes como que FUDEN notifico la brecha, presento denuncia y comunico a los afectados. Y es cierto que esas acciones son las que exige el RGPD. Pero cumplir con la obligación de notificar una brecha no debería ser un atenuante: es el mínimo legal exigible. Lo que debería evaluarse con más rigor es si las medidas de seguridad previas al ataque eran adecuadas al volumen y sensibilidad de los datos tratados (Confilegal, 13 Feb 2026).

Cuando un grupo como Hunters International consigue exfiltrar 198.000 registros con copias de DNI, la pregunta forense que me hago es: que medidas técnicas existian para detectar una exfiltración masiva de datos, habia segmentación de red, se monitorizaba el trafico saliente, existia un EDR capaz de detectar la actividad del ransomware antes del cifrado. Una multa de 9.000 euros no incentiva a ninguna organización a invertir los 50.000-100.000 euros anuales que cuesta implementar esas medidas correctamente.

Análisis de los criterios de graduacion de la AEPD

El artículo 83.2 del RGPD establece los factores que la autoridad de control debe considerar al imponer una sanción. Veamos como se aplican al caso FUDEN:

Mi conclusión tras analizar los criterios es que la AEPD ha sobrepondedado los atenuantes (cooperacion, notificación) y ha infraponderado los agravantes (volumen de afectados, naturaleza crítica de los datos, impacto permanente del DNI filtrado). El resultado es una sanción que no refleja la gravedad objetiva del incidente.

El patrón de sanciones bajas en el sector sanitario español

El caso FUDEN no es un hecho aislado. La AEPD ha mantenido historicamente un patrón de sanciones reducidas cuando la organización afectada coopera con la investigación, independientemente de la gravedad objetiva de la brecha. Esto genera un incentivo perverso: resulta más barato sufrir una brecha, notificarla y pagar la multa que invertir en las medidas técnicas que habrían evitado el incidente.

Para contextualizar, esta no es la primera vez que la AEPD sanciona una brecha en el ámbito sanitario o social con importes que resultan sorprendentemente bajos para el volumen de datos comprometidos. Como analice en detalle en mi artículo sobre las brechas de datos en el sector sanitario español y las sanciones de la AEPD, el patrón sugiere que la cooperacion post-incidente tiene un peso desproporcionado en la graduacion de la sanción frente al daño objetivo causado a los afectados.

La tabla habla por si sola. Una fundación que expone copias del DNI de 198.000 personas recibe una sanción 1.100 veces menor que una empresa que implemento reconocimiento facial sin DPIA adecuada. La diferencia esta en los atenuantes, pero el daño a los afectados de FUDEN es, en muchos aspectos, más grave y más duradero.

Es una politica que, en mi opinion como profesional que ve las consecuencias reales de estas brechas en las vidas de las personas, necesita una revision sería.

Que medidas de seguridad deberían haber existido

Como perito que realiza análisis forense digital de incidentes de seguridad, cuando evaluo un caso como el de FUDEN lo primero que me pregunto es: que medidas de seguridad existian antes del ataque y cuales deberían haber existido dada la naturaleza y volumen de los datos tratados. El artículo 32 del RGPD establece que las medidas deben ser “apropiadas al riesgo”, teniendo en cuenta el estado de la técnica y los costes de aplicación.

Para una organización que almacena copias de DNI de 198.000 personas, estas son las medidas mínimás que considero exigibles:

Medidas técnicas básicas (coste estimado: 30.000-60.000 euros/año)

Marcos normativos aplicables

Una certificación ISO 27001 para una organización del tamaño de FUDEN cuesta entre 15.000 y 40.000 euros de implementacion inicial más 8.000-15.000 euros anuales de mantenimiento y auditorias. Es una inversion significativa, pero insignificante comparada con el daño reputacional y legal de una brecha de 198.000 personas. Y sobre todo, es una inversion que la AEPD debería incentivar con un régimen sancionador que castigue de forma proporcional la falta de medidas adecuadas.

Mi evaluación de los fallos organizativos

A partir de la información pública disponible y de mi experiencia analizando incidentes similares, identifico los siguientes fallos organizativos probables en FUDEN:

Fallo 1: Ausencia de inventario de datos actualizado. La escalacion de 50.000 a 198.000 afectados indica que FUDEN no sabia cuantos registros tenia ni donde estaban almacenados. Un registro de actividades de tratamiento (art. 30 RGPD) riguroso habría permitido una estimacion precisa desde el primer momento.

Fallo 2: Almacenamiento de copias de DNI sin cifrado en reposo. Si los DNI estuvieran cifrados con claves gestionadas de forma independiente, la exfiltración habría sido inutil. Este es probablemente el fallo técnico más grave, porque es la medida que habría convertido una brecha catastrofica en un incidente menor.

Fallo 3: Ausencia de detección de exfiltración. Exfiltrar 198.000 registros con copias escaneadas de DNI implica mover gigabytes de datos fuera de la red. Si existia monitorizacion de trafico saliente, no funciono. Si no existia, la responsabilidad es evidente.

Fallo 4: Insuficiente segmentación de red. El hecho de que el atacante pudiera acceder tanto a bases de datos de contacto como a documentos escaneados sugiere que no habia una segmentación efectiva entre los diferentes tipos de datos.

Fallo 5: Posible falta de EDR o antivirus avanzado. Los grupos RaaS como Hunters International utilizan técnicas de evasion conocidas, pero un EDR correctamente configurado habría generado alertas durante la fase de movimiento lateral.

Fallo 6: Probable falta de pruebas de respuesta a incidentes. La diferencia entre estimar 50.000 y confirmar 198.000 afectados sugiere que el plan de respuesta a incidentes, si existia, no habia sido probado con escenarios realistas.

Digo “probable” y “posible” porque no he tenido acceso a la documentación interna de FUDEN ni a la resolución completa de la AEPD. Pero los indicios públicos apuntan en esta dirección, y es exactamente el tipo de análisis que realizo cuando me contratan para un análisis forense digital post-incidente.

5 casos de brechas sanitarias que he investigado

Sin revelar datos identificativos de mis clientes por obligación de confidencialidad, puedo compartir patrones que he observado en investigaciones periciales de brechas en el sector sanitario y social. Estos casos ilustran por que el de FUDEN no es un incidente aislado, sino un sintoma de problemás estructurales.

Caso 1: Fundacion social con 45.000 beneficiarios. Me llamaron 5 días después del ataque de ransomware. Para entonces, ya habian formateado dos de los tres servidores comprometidos “para restaurar el servicio cuanto antes”. La evidencia forense crítica estaba destruida. Conseguimos recuperar los logs del firewall y del tercer servidor, pero la determinacion exacta del volumen de datos exfiltrados fue imposible. La AEPD notifico con una estimacion que probablemente era inferior a la realidad. Leccion: nunca formatear antes de preservar la evidencia.

Caso 2: Clinica privada con historiales de 12.000 pacientes. El vector de entrada fue una credencial de VPN reutilizada que habia sido filtrada en una brecha anterior de un proveedor. La clinica no tenia MFA en el acceso remoto. El atacante estuvo dentro de la red 23 días antes de desplegar el ransomware. El EDR de la clinica (un antivirus básico mal configurado) no genero ninguna alerta. El coste total del incidente, incluyendo la investigación forense, la restauracion de sistemas, la asesoria legal y la pérdida de negocio, supero los 180.000 euros. La multa de la AEPD fue de 15.000 euros.

Caso 3: Asociación profesional con 80.000 miembros registrados. Estructura muy similar a FUDEN: una organización que gestionaba datos de un colectivo profesional amplio. El ataque entro por un servidor web expuesto con una vulnerabilidad conocida que llevaba 8 meses sin parchear. La exfiltración incluyo DNI escaneados, titulaciones y datos de contacto completos. Mi informe pericial documento que la organización no tenia politica de parcheado, no tenia EDR, no tenia segmentación de red y el responsable de TI era una única persona a tiempo parcial. La organización destino ese año 8.000 euros a “informática”, incluyendo el hosting de la web, las licencias de Office y el soporte técnico.

Caso 4: Centro de salud municipal con 25.000 pacientes. Ransomware que cifro la historia clinica electrónica. El centro estuvo 11 días operando en papel. El coste directo del incidente supero los 90.000 euros. Lo más preocupante de mi investigación fue descubrir que las copias de seguridad se almacenaban en el mismo segmento de red que los servidores de producción, por lo que el ransomware también las cifro. No habia backup offline ni inmutable.

Caso 5: Empresa de servicios de salud laboral con 90.000 trabajadores en base de datos. Ataque de ransomware que comprometio las bases de datos de reconocimientos medicos de 90.000 trabajadores de decenas de empresas clientes. Los datos incluian resultados de analiticas, informes de aptitud y antecedentes medicos. El vector de entrada fue una vulnerabilidad en el servidor de correo (Microsoft Exchange, ProxyLogon). Mi investigación revelo que el parche para la vulnerabilidad llevaba disponible 5 meses. La empresa no lo habia aplicado porque “el servidor de correo es crítico y no podemos pararlo para actualizar”. El resultado fue que un servidor crítico que no podian parar por unas horas para aplicar un parche acabo parado durante 3 semanas por un ataque de ransomware. La ironia es tan evidente que no necesita comentario.

Caso 6: ONG internacional con presencia en España y datos de 150.000 beneficiarios. El ataque fue obra de un grupo RaaS similar a Hunters International. La ONG tenia un presupuesto de ciberseguridad de 0 euros: dependía exclusivamente de Windows Defender y de un firewall de consumo. Mi informe pericial incluyo una estimacion del coste de las medidas mínimás que habrían prevenido el ataque: 35.000 euros anuales. La ONG habia rechazado una propuesta similar de un consultor externo 18 meses antes del ataque por considerarla “demasiado cara”.

El patrón común en los seis casos es el mismo: organizaciones que gestionan datos sensibles de decenas o cientos de miles de personas con presupuestos de seguridad que no cubririan ni el alquiler de una oficina pequeña. En todos los casos, el coste del incidente supero con creces el coste de las medidas preventivas que lo habrían evitado. En todos los casos, los fallos de seguridad eran básicos y conocidos. Y en todos los casos, la sanción de la AEPD (cuando la hubo) fue una fraccion irrisoria del daño real causado a los afectados.

Estos no son casos excepcionales. Son el día a día del sector sanitario y social en España. Son el resultado predecible de una cadena de decisiones: no invertir en seguridad porque “no somos un objetivo”, no formar al personal porque “no es nuestra prioridad”, no parchear los sistemás porque “no podemos parar la producción”, no cifrar los datos porque “nunca hemos tenido un problema”. Hasta que el problema llega. Y entonces es demasiado tarde.

Un régimen sancionador que, con multas como los 9.000 euros de FUDEN, no genera ningun incentivo para cambiar esa situación es parte del problema, no de la solución.

Guía de accion para los 198.000 enfermeros afectados

Si eres uno de los enfermeros afectados por la brecha de FUDEN, estas son las 10 acciones que recomiendo como perito forense, ordenadas por prioridad:

Priorizacion de las acciones según urgencia

Para que la lista anterior sea más operativa, la he organizado por urgencia temporal:

No hay que hacer todo el primer dia, pero las tres primeras acciones (alertas bancarias, contraseñas y 2FA) deberían completarse en las próximás horas si no se ha hecho ya. Cada día que pasa sin estas medidas básicas es un día en el que los datos expuestos pueden estar siendo utilizados sin que lo sepas.

Que hacer si ya has detectado un uso fraudulento de tus datos

Si ya has sido víctima de un fraude de identidad que sospechas que esta vinculado a la brecha de FUDEN, el procedimiento que recomiendo es el siguiente:

1. Documenta todo. Capturas de pantalla, extractos bancarios, emails, SMS, cualquier evidencia del fraude. Guarda copias en un lugar seguro (no solo en el teléfono).
2. Presenta denuncia ante la Policia Nacional o Guardía Civil. Lleva toda la documentación. Menciona explicitamente que sospechas que el fraude esta vinculado a la brecha de FUDEN/SATSE. Pide copia de la denuncia.
3. Comunica a tu banco. Si hay movimientos no autorizados, comunica al banco inmediatamente por escrito (no solo por teléfono). Exige por escrito la retroaccion de las operaciones fraudulentas.
4. Contacta con un perito informático. Si necesitas vincular tecnicamente el fraude con la brecha de FUDEN para una reclamación judicial, un informe pericial forense puede establecer esa conexión analizando los patrones de los datos utilizados.
5. Reclama a FUDEN. Ejercita tu derecho a indemnizacion (art. 82 RGPD) directamente contra FUDEN. Si la organización no responde satisfactoriamente, puedes acudir a la via judicial.

Lista de verificación preventiva para organizaciones (15 medidas)

Para las organizaciones que tratan datos personales a gran escala y quieren evitar acabar en la situación de FUDEN, esta es la lista de medidas que recomiendo basandome en mi experiencia pericial:

El coste total de implementar las medidas críticas y de alta prioridad (posiciones 1-9) oscila entre 40.000 y 90.000 euros el primer año y entre 25.000 y 60.000 euros anuales de mantenimiento. Es una inversion significativa para una organización sin animo de lucro, pero es proporcional al riesgo de gestionar datos de 198.000 personas con copias de DNI. Y, sobre todo, es entre 3 y 10 veces superior a la multa que la AEPD ha impuesto por no tener esas medidas. Ese es el calculo que tienen que cambiar.

Que haría yo como perito si me llamaran tras un ataque similar

Cuando me llaman después de un ataque de ransomware como el de FUDEN, mi protocolo de actuación sigue un orden estricto que he refinado a lo largo de decenas de investigaciones:

La diferencia entre estimar 50.000 afectados y confirmar 198.000 es exactamente lo que un análisis forense digital profesional evita. Con las herramientas adecuadas y acceso a los sistemás comprometidos en las primeras horas, es posible determinar con exactitud el alcance real del incidente desde el principio.

Contexto regulatorio: el RGPD, las fundaciones y el ENS

Obligaciones de organizaciones sin animo de lucro

Un aspecto que merece atencion es el estatus jurídico de FUDEN como fundación y de SATSE como sindicato. Algunas organizaciones sin animo de lucro asumen erroneamente que el RGPD les aplica con menor rigor que a las empresas. Esto es incorrecto. El RGPD se aplica a cualquier responsable o encargado del tratamiento, independientemente de su naturaleza jurídica, tamaño o finalidad. Una fundación que trata datos de 198.000 personas tiene las mismás obligaciones que una multinacional que trate el mismo volumen (RGPD, art. 1-4).

El artículo 32 del RGPD exige implementar medidas técnicas y organizativas apropiadas al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento. Una organización que almacena copias escaneadas del DNI de casí 200.000 personas tiene la obligación de proteger esos datos con medidas proporcionalmente robustas: cifrado en reposo, control de acceso granular, monitorizacion de exfiltración y copias de seguridad inmutables.

Obligaciones tras una brecha: lo que FUDEN hizo y lo que quedo pendiente

Según la información pública, FUDEN cumplio con las tres obligaciones básicas que el RGPD establece tras una brecha de datos personales:

Lo que no esta claro en la documentación pública es si FUDEN realizo una evaluación de impacto (DPIA) previa al tratamiento de los datos. Dado que almacenaba copias de DNI de 198.000 personas, el tratamiento entra claramente en la categoría de “alto riesgo” del artículo 35 del RGPD, que obliga a realizar una DPIA antes de iniciar el tratamiento. Si no existia esa evaluación, la AEPD debería haber sancionado también por ese incumplimiento.

La directiva NIS2 y su impacto futuro

La Directiva NIS2 (UE 2022/2555), cuya transposición al derecho español debería haberse completado en octubre de 2024 pero sigue en trámite, ampliara significativamente las obligaciones de ciberseguridad para organizaciones que operan en sectores críticos, incluyendo el sector sanitario. Aunque FUDEN no es un hospital, la gestión de datos de 198.000 profesionales sanitarios podría encajar en el ámbito de la directiva.

NIS2 impone obligaciones de gobernanza de ciberseguridad, gestión de riesgos, notificación de incidentes en 24 horas (no 72) y medidas técnicas mínimás que incluyen cifrado, control de acceso, gestión de vulnerabilidades y planes de continuidad. Las sanciones por incumplimiento pueden alcanzar los 10 millones de euros o el 2% de la facturacion global. Es un cambio radical respecto al régimen actual, y organizaciones como FUDEN necesitan prepararse.

El Esquema Nacional de Seguridad y su aplicación al sector sanitario

El ENS (Real Decreto 311/2022) establece los principios básicos y requisitos mínimos de seguridad para las administraciones públicas y las entidades del sector privado que les prestan servicios. Aunque FUDEN no es una administración pública, su vinculación con el sistema sanitario y la gestión de datos de profesionales que trabajan en el sistema público podría hacer aplicable, al menos parcialmente, el marco del ENS.

El ENS clasifica los sistemás de información en tres categorías (básica, media, alta) según el impacto que tendría una brecha de seguridad. Un sistema que gestiona copias de DNI de 198.000 personas debería clasificarse, como mínimo, en categoría MEDIA, lo que implica un conjunto robusto de medidas de seguridad: cifrado, control de acceso basado en roles, monitorizacion continua, auditorias de seguridad periodicas y un plan de continuidad de negocio.

La pregunta es: si FUDEN hubiera aplicado las medidas del ENS de categoría media, habría sufrido la misma brecha. En mi opinion técnica, probablemente no. Las medidas de segmentación de red, cifrado en reposo y monitorizacion que exige el ENS habrían dificultado enormemente la exfiltración masiva de datos. No son medidas infalibles, pero elevan significativamente el listón que el atacante necesita superar.

Perspectiva regulatoria 2026-2027

La pregunta que deberían hacerse todas las fundaciones, asociaciones y sindicatos que gestionan datos personales a gran escala es: si manana sufrimos un ataque de ransomware, podemos demostrar ante la AEPD que nuestras medidas de seguridad eran adecuadas al riesgo. Si la respuesta no es un si rotundo respaldado por documentación técnica, el momento de actuar es ahora. Con NIS2 a la vuelta de la esquina, las multas testimoniales de 9.000 euros podrían convertirse en sanciones de millones.

El mercado de datos sanitarios en la dark web

Para entender la gravedad real de la brecha de FUDEN, es necesario explicar que ocurre con los datos una vez que salen de la organización. Los datos no desaparecen después del ataque. Entran en una economia criminal sofisticada donde se compran, se venden, se enriquecen y se explotan durante años.

Cadena de valor de los datos robados

He rastreado el destino de datos sanitarios exfiltrados en varias investigaciones periciales. La cadena de valor típica sigue estas fases:

Los datos de FUDEN tienen un valor especialmente alto en el mercado negro por tres razones. Primera, incluyen copias de DNI escaneadas, que son el documento de identidad más completo disponible. Segunda, la cantidad (198.000 registros) permite ventas al por mayor con descuento por volumen. Y tercera, los afectados son profesionales sanitarios con empleo estable, lo que los convierte en objetivos atractivos para fraudes financieros porque su perfil crediticio suele ser favorable.

Precios en el mercado underground

Para poner cifras concretas a lo que estamos hablando:

Los precios varian según el mercado, la frescura de los datos y la calidad del paquete. Pero incluso en la estimacion más conservadora, el valor de los datos de FUDEN en la dark web supera los 3 millones de euros. La multa de la AEPD es el 0,3% de ese valor. Es como si un ladron robara 3 millones de euros de un banco y el regulador multara al banco con 9.000 euros por no tener una cerradura adecuada.

Durabilidad del riesgo

Un aspecto que la AEPD parece no haber ponderado es la durabilidad del daño. Las contraseñas se cambian. Las tarjetas de credito se cancelan. Pero un DNI no se puede cambiar hasta que caduque, y su número permanece vinculado a la persona de por vida. He documentado en informes periciales casos de fraude de identidad que se produjeron 4 años después de la brecha que los origino. Los datos de FUDEN serán explotables durante un mínimo de 5 años, y los números de DNI lo serán de forma indefinida.

Esto significa que los 198.000 enfermeros afectados no estan viviendo un problema puntual. Estan viviendo el inicio de un problema cronico que les acompanara durante años. Y la AEPD ha valorado ese impacto en 0,045 euros por persona. He pagado más por un chicle.

Anatomia técnica del ataque: reconstruccion forense probable

Aunque no he tenido acceso directo a los sistemás de FUDEN, mi experiencia en investigaciones de ataques de Hunters International y grupos similares me permite reconstruir una secuencia probable del ataque basandome en los TTPs conocidos del grupo y en la información pública disponible.

Fase 1: Acceso inicial (semana 0)

El vector de entrada más probable para un ataque de Hunters International es una de estas tres vias:

Opcion A: Credenciales comprometidas. El grupo compra credenciales de acceso remoto (VPN, RDP, Citrix) en mercados de Initial Access Brokers. Si algun empleado de FUDEN reutilizo una contraseña que fue filtrada en otra brecha, el atacante podría haber accedido directamente a la red interna.

Opcion B: Phishing dirigido. Un email de spear-phishing dirigido a personal de FUDEN con un adjunto malicioso o un enlace a una web de phishing. Dado que FUDEN es una organización vinculada al sector sanitario, los pretextos de phishing sanitario (convocatorias, circulares, normativa) son especialmente efectivos.

Opcion C: Explotacion de vulnerabilidad expuesta. Si FUDEN tenia servicios expuestos a Internet con vulnerabilidades conocidas sin parchear (VPN, servidor de correo, aplicación web), el atacante podría haber explotado una vulnerabilidad de forma automatizada. Los grupos RaaS mantienen scanners automáticos que detectan servidores vulnerables y los anaden a una cola de explotacion.

En cualquiera de los tres escenarios, la prevención habría requerido medidas básicas: MFA en accesos remotos, formación en phishing y gestión de parches actualizada. Medidas que cuestan entre 5.000 y 15.000 euros anuales para una organización del tamaño de FUDEN.

Fase 2: Persistencia y movimiento lateral (semanas 1-3)

Una vez dentro de la red, el atacante establece persistencia (para no perder el acceso si la via de entrada se cierra) y comienza a moverse lateralmente por la infraestructura. El objetivo es obtener credenciales de administrador de dominio que den acceso a todos los sistemas.

Las técnicas típicas de Hunters International en esta fase incluyen:

• Mimikatz o herramientas similares para extraer credenciales de memoria
• BloodHound para mapear relaciones de confianza en Active Directory y encontrar el camino más corto hasta privilegios de administrador
• Cobalt Strike o Sliver como framework de comando y control (C2)
• Living-off-the-land: uso de herramientas legitimás del sistema (PowerShell, WMI, PsExec) para evitar la detección de antivirus tradicionales

Un EDR correctamente configurado habría generado alertas en esta fase. El comportamiento de BloodHound consultando Active Directory de forma masiva, la extracción de credenciales de memoria con Mimikatz o la comunicación con servidores de C2 son patrones detectables con herramientas modernas de detección. Si FUDEN no tenia un EDR o tenia un antivirus básico sin capacidad de detección de comportamiento, estas actividades pasaron completamente desapercibidas.

Fase 3: Exfiltración (semanas 2-4)

Antes de cifrar, Hunters International exfiltra los datos valiosos. Para 198.000 registros con copias de DNI escaneadas, estamos hablando de un volumen de datos considerable. Si cada DNI escaneado pesa entre 200 KB y 1 MB, y los datos de contacto de la base de datos ocupan otros 50-100 MB, el volumen total de exfiltración se situa entre 40 GB y 200 GB.

Exfiltrar ese volumen de datos sin ser detectado requiere tiempo y cuidado. Los atacantes suelen:

• Comprimir los datos en archivos cifrados (7z, RAR) para reducir el volumen y dificultar la inspeccion DLP
• Exfiltrar en horarios de menor actividad (noches, fines de semana) para mezclarse con el trafico normal
• Utilizar servicios de almacenamiento en la nube legítimos (Mega, pCloud, servidores propios) como destino
• Fragmentar la exfiltración en multiples sesiones para evitar alertas por volumen

Una solución DLP que monitorizara el trafico saliente habría detectado esta exfiltración. Un proxy con inspeccion SSL que registrara las subidas de archivos comprimidos a servicios de almacenamiento externo habría generado una alerta. Pero estas herramientas cuestan dinero y requieren personal que las gestione. Y ahi volvemos al problema de fondo: sin incentivos sancionadores serios, las organizaciones no invierten en estas medidas.

Fase 4: Cifrado y extorsion (semana 4+)

Una vez completada la exfiltración, el atacante despliega el ransomware simultaneamente en todos los sistemás posibles. El cifrado es rápido: los grupos modernos de ransomware cifran parcialmente los archivos (solo los primeros bloques) para maximizar la velocidad. Un servidor completo puede quedar cifrado en minutos.

La nota de rescate aparece en todas las pantallas. Se proporciona un enlace .onion para contactar con el grupo y negociar. Si la víctima no paga en el plazo establecido (tipicamente 7-14 días), los datos comienzan a aparecer en el leak site del grupo.

Es en este momento cuando FUDEN descubre que ha sufrido un ataque. Y es en este momento cuando la investigación forense debería comenzar inmediatamente, antes de restaurar ningun sistema. La decisión de restaurar antes de preservar la evidencia es uno de los errores más costosos que he visto en mis investigaciones: elimina la posibilidad de determinar con precision el alcance de la brecha.

El coste real para los afectados: una estimacion fundamentada

La AEPD ha valorado la brecha en 9.000 euros. Pero cual es el coste real para los 198.000 afectados si un porcentaje de ellos sufre fraude de identidad. Hagamos una estimacion basada en datos reales de mis investigaciones periciales y en estudios de la industria:

Incluso en la estimacion más conservadora, el coste real de la brecha para los afectados supera los 30 millones de euros si sumamos los fraudes directos y el tiempo dedicado a gestión y vigilancia. La multa de 9.000 euros representa el 0,03% de ese coste.

Para calcular el coste oportunidad, he usado un salario medio de enfermero en España de aproximadamente 20 euros la hora. Si cada uno de los 198.000 afectados dedica entre 5 y 20 horas a lo largo de los próximos años a cambiar contraseñas, consultar la CIRBE, activar alertas bancarias, hablar con su banco, presentar denuncias en caso de fraude y lidiar con las consecuencias psicologicas de saber que su DNI esta en maños de criminales, el coste en tiempo es enorme. Y ese tiempo no se lo paga nadie.

El daño psicologico invisible

Hay un aspecto que nunca aparece en las resoluciónes de la AEPD pero que yo he visto de primera maño en mis peritajes: el impacto psicologico en los afectados. He hablado con personas que, después de una brecha de datos, desarrollan ansiedad cada vez que reciben una llamada de un número desconocido, que comprueban su cuenta bancaria tres veces al dia, que tienen miedo de abrir el correo electrónico. El RGPD reconoce los daños morales en su artículo 82, pero la AEPD parece no considerarlos al graduar las sanciones.

En el caso de FUDEN, estamos hablando de 198.000 profesionales sanitarios que ya trabajan bajo presion considerable. Anadir a su carga diaria la preocupacion de que alguien puede estar usando su identidad para cometer fraudes no es un inconveniente menor. Es un factor de estres cronico que puede afectar a su salud, a su rendimiento profesional y a su calidad de vida.

Responsabilidad compartida: FUDEN, SATSE y la cadena de tratamiento

Un aspecto que merece análisis adicional es la relación entre FUDEN y SATSE en el tratamiento de los datos. FUDEN (Fundacion para el Desarrollo de la Enfermeria) es una entidad vinculada al sindicato SATSE. Los datos de los 198.000 enfermeros provienen, en gran medida, de la actividad sindical y formativa. Esto plantea preguntas relevantes sobre la distribucion de responsabilidades:

Quien es responsable del tratamiento. Si FUDEN actuaba como responsable del tratamiento y SATSE como entidad vinculada que proporcionaba los datos, ambas tienen obligaciones bajo el RGPD. Si actuaban como corresponsables (art. 26 RGPD), deberían haber definido de forma transparente sus respectivas responsabilidades. La sanción conjunta de 9.000 euros sugiere que la AEPD ha considerado una responsabilidad compartida, pero el importe es igualmente insuficiente independientemente de como se distribuya.

Los datos de afiliacion sindical son especialmente protegidos. Si entre los 198.000 registros hay datos que permiten inferir la afiliacion sindical de los afectados (que es muy probable, dado que SATSE es un sindicato), estamos ante datos del artículo 9.1 del RGPD, cuyo tratamiento esta sujeto a condiciones reforzadas. La afiliacion sindical es una categoría especial de datos personales al mismo nivel que los datos de salud, los datos biometricos o la orientación sexual. La brecha no solo expone DNI y datos de contacto: podría estar revelando la afiliacion sindical de 198.000 personas.

Este aspecto agrava la valoración del incidente. Una brecha que expone datos del artículo 9 RGPD debería, en principio, recibir una sanción más severa que una brecha que solo afecta a datos de contacto básicos. Sin embargo, la AEPD no parece haber ponderado este factor con el peso que merece.

Análisis económico: el verdadero calculo coste-beneficio de la ciberseguridad

Uno de los argumentos que escucho con frecuencia cuando presento presupuestos de ciberseguridad a organizaciones es “no tenemos presupuesto para eso”. Vamos a hacer los números reales para una organización del tamaño y perfil de FUDEN, y veamos si esa afirmacion se sostiene.

Coste de las medidas preventivas vs. coste del incidente

Los números no admiten discusion. Invertir 50.000 euros anuales en medidas preventivas para evitar un incidente que puede costar entre 234.000 y más de 5 millones de euros es la decisión racional. Pero la racionalidad requiere información, y muchas organizaciones no conocen estos números porque nunca han realizado un análisis de riesgos serio.

Y aquí entra el papel del regulador. Si la multa de la AEPD fuera de 500.000 euros en lugar de 9.000, el calculo coste-beneficio cambiaria radicalmente. La inversion en prevención dejaria de parecer un gasto y pasaria a verse como lo que es: un seguro que cuesta una decima parte de lo que costaria no tenerlo.

El falso ahorro de no invertir en seguridad

He visto este patrón una y otra vez en mis investigaciones: organizaciones que “ahorraron” 50.000 euros al año durante 5 años al no invertir en ciberseguridad (250.000 euros de “ahorro” acumulado) y luego gastaron 400.000 euros en responder a un incidente que habría sido prevenible con esas medidas. El ahorro fue ficticio. El gasto fue real. Y los 198.000 afectados pagan las consecuencias de una decisión financiera miope que no les correspondia.

Cuando me preguntan “cuanto cuesta la ciberseguridad”, mi respuesta siempre es la misma: menos que la falta de ciberseguridad. El caso FUDEN es la prueba.

Lecciones de ciberseguridad para fundaciones y ONGs

Este caso debería ser lectura obligatoria para cualquier organización sin animo de lucro que gestione datos personales a gran escala. Como perito forense que ha investigado incidentes en este sector, observo patrones recurrentes que explican por que estas organizaciones son especialmente vulnerables:

Patron 1: “No somos un objetivo”. Muchas fundaciones y ONGs creen que los grupos de ransomware solo atacan a grandes empresas. Esto es radicalmente falso. Los grupos RaaS como Hunters International atacan a cualquier organización que tenga datos valiosos y defensas debiles. Las fundaciones y ONGs combinan ambas caracteristicas: datos de miles o cientos de miles de personas con presupuestos de seguridad mínimos.

Patron 2: “Nuestro informático lo tiene controlado”. He visto fundaciones donde toda la ciberseguridad recae en una única persona que también gestiona el soporte técnico, las licencias de software, la web y las impresoras. Esta persona no tiene tiempo, recursos ni formación para gestionar la ciberseguridad de una organización que trata datos de 198.000 personas. No es un reproche al profesional: es un reproche a la organización que no asigna recursos suficientes.

Patron 3: “Tenemos un antivirus”. Un antivirus tradicional basado en firmás no detecta ataques de ransomware modernos que utilizan técnicas de evasion, herramientas legitimás del sistema y malware polimórfico. Un antivirus es como una puerta con cerrojo: mejor que nada, pero insuficiente contra un atacante profesional. Las organizaciones que tratan datos sensibles a gran escala necesitan EDR con monitorizacion 24/7, segmentación de red y capacidad de respuesta a incidentes.

Patron 4: “Cumplimos con la LOPD”. El cumplimiento normativo no es un ejercicio de documentación. Tener politicas de privacidad en la web y un registro de tratamientos en papel no protege contra un ataque de ransomware. El cumplimiento real del artículo 32 del RGPD implica medidas técnicas y organizativas efectivas, no meramente documentales. He visto organizaciones con documentación de cumplimiento impecable y servidores sin actualizar desde hace 3 años.

Patron 5: “No tenemos presupuesto”. El presupuesto de ciberseguridad es una decisión de prioridades, no de recursos absolutos. Una organización que gestiona datos de 198.000 personas y destina 0 euros a ciberseguridad esta tomando una decisión de riesgo consciente, aunque probablemente no documentada. El coste de las medidas básicas (30.000-60.000 euros anuales) es una fraccion del presupuesto operativo de una organización del tamaño de FUDEN. Si no se puede asumir, quiza la organización debería replantearse si puede asumir la responsabilidad de tratar ese volumen de datos.

Cronologia de ataques de ransomware al sector sanitario en España

Para entender que el caso FUDEN no es un incidente aislado sino parte de una tendencia creciente, veamos los principales ataques de ransomware contra organizaciones del sector sanitario español en los últimos dos años:

La frecuencia de ataques se ha duplicado entre 2023 y 2025. Y cada ataque es más sofisticado que el anterior porque los grupos de ransomware aprenden de cada operación y refinan sus herramientas. Mientras tanto, el sector sanitario español sigue invirtiendo cantidades irrisorias en ciberseguridad y el régimen sancionador sigue sin generar incentivos reales para cambiar esa tendencia.

Es importante senalar que esta tabla solo incluye los incidentes que han sido reportados publicamente o que conozco por mi actividad profesional. La cifra real de ataques es significativamente mayor. Muchas organizaciones sanitarias sufren ataques de ransomware que nunca se hacen públicos, bien porque pagan el rescate discretamente, bien porque el incidente no llega a la AEPD, bien porque la brecha no se detecta. El CCN-CERT estima que por cada incidente reportado en el sector sanitario, existen entre 3 y 5 incidentes no reportados. Si esta estimacion es correcta, el sector sanitario español podría estar sufriendo más de 150 incidentes graves de ransomware al año, la mayoria de los cuales no tienen consecuencias regulatorias para la organización afectada.

En este contexto, FUDEN es simplemente el caso que ha salido a la luz. Es el visible de un iceberg cuya parte sumergida es mucho mayor y mucho más preocupante.

Lo que me resulta especialmente frustrante como profesional es que todos estos ataques siguen patrones predecibles y prevenibles. No estamos hablando de amenazas sofisticadas de estado-nacion que explotan vulnerabilidades zero-day. Estamos hablando de grupos criminales que entran por credenciales reutilizadas, VPNs sin MFA, servidores sin parchear y redes sin segmentar. Son fallos básicos que se corrigen con medidas básicas. Pero las medidas básicas cuestan dinero, y nadie invierte dinero en prevenir algo cuya sanción es de 9.000 euros.

Preguntas frecuentes

¿Que deben hacer los 198.000 enfermeros afectados por la brecha de FUDEN?

Lo primero y más urgente es activar alertas bancarias en tiempo real y consultar la CIRBE (Central de Información de Riesgos del Banco de España) para verificar que no se hayan abierto productos financieros a tu nombre. Cambia las contraseñas de todos los servicios donde uses el email expuesto, activa la autenticación en dos pasos (2FA) y desconfia de cualquier comunicación que mencione FUDEN o SATSE. He detallado 10 acciones concretas en la guía de accion de este artículo.

¿Por que la multa de la AEPD es tan baja comparada con otros casos?

La AEPD aplica criterios de graduacion establecidos en el artículo 83 del RGPD, que incluyen la naturaleza y gravedad de la infracción, el número de afectados, las medidas adoptadas para mitigar el daño y la cooperacion con la autoridad de control. En el caso de FUDEN, la AEPD ha valorado como atenuantes que la organización notifico la brecha, informo a los afectados y presento denuncia policial. Sin embargo, la sanción de 9.000 euros resulta desproporcionadamente baja si se compara con multas por brechas similares en otros paises de la UE o incluso con sanciones anteriores de la propia AEPD, como los 10 millones a Aena o los 6 millones a CaixaBank. En mi opinion profesional, cumplir con la obligación legal de notificar no debería ser un atenuante: es el mínimo exigible.

¿Puede un perito informático ayudar después de un ataque de ransomware?

Si, y cuanto antes mejor. Un perito informático forense puede determinar el vector de entrada del ataque, el tiempo de permanencia del atacante en la red, el volumen exacto de datos exfiltrados y si las medidas de seguridad previas eran adecuadas. El informe pericial sirve ante la AEPD (para cumplir con datos precisos sobre el alcance real), ante la policia (indicadores de compromiso, IPs, hashes de malware y cronologia) y ante los tribunales (demostrar diligencia o documentar carencias). Las organizaciones que contratan un análisis forense digital en las primeras 48 horas obtienen resultados significativamente más precisos que las que esperan semanas.

¿Cuanto tiempo estarán en riesgo los enfermeros afectados?

El riesgo es a largo plazo. Un DNI tiene una validez de 5 a 10 años, y los datos filtrados se revenden multiples veces en la dark web durante todo ese periodo. En mi experiencia, los fraudes de identidad derivados de brechas de datos pueden producirse entre 3 meses y 5 años después del incidente. La vigilancia debe ser continua y no limitarse a los primeros meses.

¿Que es Hunters International y por que es tan peligroso?

Hunters International es un grupo de ransomware que opera bajo el modelo de ransomware-as-a-service, heredero del código de Hive (desmantelado por el FBI en 2023). Su especialidad es la doble extorsion: exfiltran los datos antes de cifrar los sistemas, de modo que la víctima enfrenta la amenaza de que sus datos se publiquen en la dark web incluso si restaura desde backups. Han atacado organizaciones en más de 30 paises.

¿Pueden los afectados reclamar una indemnizacion a FUDEN?

Si. El artículo 82 del RGPD reconoce el derecho de los interesados a obtener una indemnizacion cuando el responsable del tratamiento haya infringido el Reglamento y eso haya causado un daño. Los afectados pueden reclamar individualmente o sumarse a acciones colectivas. El daño no tiene que ser económico: el RGPD reconoce también los daños morales derivados de la ansiedad, la pérdida de control sobre los datos y el tiempo dedicado a gestionar las consecuencias de la brecha.

¿Por que paso la estimacion de 50.000 a 198.000 afectados?

En mi experiencia forense, esta escalacion indica que la organización no tenia un inventario completo de datos ni visibilidad sobre todos los repositorios donde se almacenaban datos personales. Es habitual encontrar copias de datos en servidores secundarios, respaldos antiguos, bases de datos legacy que nadie sabia que seguian activas o exportaciones historicas en carpetas compartidas. Un análisis forense profesional desde el primer momento habría evitado esta infraestimacion.

¿Que diferencia hay entre esta brecha y las que afectan a hospitales?

La principal diferencia es el tipo de datos. En brechas hospitalarias se exponen historiales clinicos (datos de salud del art. 9 RGPD), mientras que en el caso de FUDEN se exponen datos de identificación (DNI) y contacto de profesionales sanitarios. Sin embargo, los DNI escaneados tienen un riesgo de fraude de identidad potencialmente mayor que un diagnóstico medico, porque el DNI es la llave para abrir cuentas, contratar servicios y suplantar legalmente a la víctima.

¿Deberia FUDEN haber tenido un DPO (delegado de protección de datos)?

Una organización que trata datos personales de 198.000 personas, incluyendo copias de documentos de identidad, debería razonablemente tener un DPO, especialmente si el tratamiento se realiza a gran escala. El artículo 37 del RGPD no obliga a todas las organizaciones a tener DPO, pero los criterios de “tratamiento a gran escala” y “datos que requieren observación habitual y sistemática” sugieren que FUDEN estaba en el ámbito de esta obligación.

¿Que efecto disuasorio tiene una multa de 9.000 euros?

Ninguno. Una multa de 9.000 euros para una organización que gestiona datos de 198.000 personas es equivalente a una multa de trafico para una empresa de logistica con 500 camiones. No modifica el comportamiento. El calculo coste-beneficio es claro: las medidas de seguridad adecuadas cuestan entre 40.000 y 90.000 euros anuales, mientras que el riesgo sancionador demostrado es de 9.000 euros. Ninguna organización racional invertiria 10 veces más en prevención que el coste de la sanción por no tener prevención.

¿Que marco legal protege a los enfermeros afectados?

Los enfermeros afectados cuentan con varios mecanismos de protección legal. El artículo 82 del RGPD les reconoce el derecho a una indemnizacion por daños materiales e inmateriales. El artículo 77 les permite presentar una reclamación ante la AEPD si consideran que la resolución no es suficiente. Ademas, la Ley Organica 3/2018 (LOPD-GDD) complementa el RGPD en el ámbito español. Si sufren fraude de identidad, el Código Penal tipifica la usurpacion de estado civil (art. 401) y la estafa (art. 248). Lo recomendable es actuar en dos frentes: protección preventiva inmediata (alertas bancarias, 2FA, CIRBE) y accion legal a medio plazo (reclamación colectiva de indemnizacion).

¿Es normal que un grupo de ransomware ataque a una fundación?

Si, es completamente habitual. Los grupos de ransomware como Hunters International no discriminan por tipo de organización. Atacan a cualquier entidad que tenga datos valiosos y defensas debiles. Las fundaciones, ONGs y sindicatos son objetivos atractivos porque suelen gestionar datos de miles de personas con presupuestos de ciberseguridad mínimos. En 2025, el 23% de las víctimás de ransomware en Europa fueron organizaciones sin animo de lucro, administraciones públicas o entidades del tercer sector, según datos de ENISA.

¿Como puedo saber si mis datos de FUDEN ya estan en la dark web?

No es fácil verificarlo de forma autonoma. Los datos pueden estar en el leak site de Hunters International (accesible via Tor) o en foros underground que requieren registro e invitacion. Existen servicios como Have I Been Pwned que monitorizan brechas públicas, pero no siempre incluyen datos de leak sites de ransomware. La forma más fiable es vigilar los sintomas: comunicaciones de phishing dirigido que mencionan tu nombre y datos reales, intentos de acceso a tus cuentas, movimientos bancarios no autorizados o productos financieros contratados sin tu conocimiento. Si detectas alguno de estos indicios, es muy probable que tus datos esten circulando.

¿Que diferencia hay entre una multa de la AEPD y una indemnizacion judicial?

Son mecanismos distintos. La multa de la AEPD es una sanción administrativa que paga la organización infractora al Estado. No beneficia directamente a los afectados. La indemnizacion judicial es una compensación económica que la organización paga directamente a las víctimas, y se obtiene mediante demanda civil (individual o colectiva) ante los tribunales. Ambos mecanismos son compatibles: que la AEPD haya multado con 9.000 euros no impide que los afectados reclamen una indemnizacion judicial que podría ser muy superior. De hecho, la resolución de la AEPD puede servir como prueba en el procedimiento judicial.

¿Deberia FUDEN ofrecer monitorizacion de identidad a los afectados?

En mi opinion, absolutamente. Es una práctica estandar en Estados Unidos, Reino Unido y otros paises europeos. Despues de una brecha que expone documentos de identidad, la organización responsable debería ofrecer a los afectados, como mínimo, un servicio de monitorizacion de identidad y credito durante 24 meses, pagado por la organización. No consta que FUDEN haya ofrecido este servicio, lo cual refuerza la impresion de que la respuesta post-incidente fue reactiva y minimalista. Notificaron porque estaban obligados. Denunciaron porque era lo prudente. Pero no fueron más alla de lo legalmente exigible.

¿Cuantos ataques de ransomware sufre el sector sanitario en España?

Según datos del CCN-CERT e INCIBE, el sector sanitario español sufre una medía de 2.400 intentos de ciberataque por semana, de los cuales un porcentaje significativo son ataques de ransomware. En 2025, se reportaron más de 40 incidentes graves de ransomware contra organizaciones del ámbito sanitario en España, incluyendo hospitales, clinicas, laboratorios y organizaciones de apoyo como fundaciones y colegios profesionales. La tendencia es creciente, y la falta de inversión en ciberseguridad del sector garantiza que seguira siendo un objetivo prioritario para los grupos de ransomware.

Que debería hacer la AEPD de forma diferente

No soy jurista. Soy perito informático forense. Pero después de haber elaborado informes periciales que han acabado en expedientes de la AEPD, y después de haber visto como se graduan las sanciones, tengo una opinion formada sobre lo que debería cambiar para que el sistema sancionador cumpla su función.

Propuesta 1: Sanción mínima proporcional al número de afectados

La AEPD debería establecer un suelo mínimo de sanción proporcional al número de personas afectadas. Mi propuesta sería un mínimo de 1 euro por persona afectada para brechas con datos básicos y de 5 euros por persona para brechas que incluyan documentos de identidad o datos del artículo 9 RGPD. En el caso de FUDEN, esto habría supuesto una sanción mínima de 990.000 euros. Sigue siendo una cifra modesta comparada con el daño real, pero al menos genera un incentivo para proteger los datos.

Propuesta 2: Auditorias de seguridad post-sanción obligatorias

Cuando la AEPD sanciona una brecha, debería imponer como medida complementaria una auditoria de seguridad independiente con un plazo de implementacion de las recomendaciones. No basta con pagar la multa y seguir con la misma infraestructura que permitio el ataque. La organización debería demostrar, en un plazo de 6 a 12 meses, que ha implementado las medidas correctivas necesarias.

Propuesta 3: Publicacion detallada de resoluciónes

Las resoluciónes de la AEPD deberían incluir un anexo técnico con las medidas de seguridad que la organización tenia implementadas y las que debería haber tenido. Esto cumpliria una doble función: transparencia para los afectados (que sabrian si sus datos estaban o no adecuadamente protegidos) y efecto educativo para otras organizaciones en situación similar.

Propuesta 4: Fondo de compensación para afectados

Una parte de las sanciones debería destinarse a un fondo de compensación que financie la monitorizacion de identidad de los afectados, la asistencia jurídica en caso de fraude derivado de la brecha y la comunicación continuada de riesgos. En el modelo estadounidense, las organizaciones que sufren brechas suelen ofrecer a los afectados servicios de monitorizacion de credito durante 12-24 meses. En España, no existe este mecanismo.

Propuesta 5: Criterios técnicos en la graduacion

La AEPD debería incorporar peritos técnicos independientes en la evaluación de las medidas de seguridad previas al incidente. La pregunta clave no debería ser “coopero la organización después del ataque” (que es el mínimo legal), sino “tenia la organización las medidas de seguridad que el estado de la técnica y el volumen de datos tratados exigian”. Si la respuesta es no, la cooperacion post-incidente no debería reducir la sanción por debajo de un umbral mínimo.

Propuesta 6: Transparencia en la evaluación técnica

Las resoluciónes de la AEPD en casos de brechas deberían incluir una evaluación técnica detallada de las medidas de seguridad que la organización tenia implementadas antes del incidente. Actualmente, muchas resoluciónes se limitan a constatar que hubo una brecha y a evaluar los atenuantes post-incidente, sin entrar en el análisis técnico de si las medidas preventivas eran adecuadas. Esta falta de transparencia impide que otras organizaciones aprendan de los errores de las organizaciones sancionadas y perpetua la falta de inversion en seguridad.

Si la resolución del caso FUDEN incluyera un análisis técnico que dijera “la organización no tenia EDR, no tenia cifrado en reposo de los documentos de identidad, no tenia segmentación de red y no monitorizaba el trafico saliente”, todas las organizaciones en situación similar sabrian exactamente que medidas necesitan implementar. Y los proveedores de ciberseguridad podrían usar esa información para ofrecer soluciónes adaptadas al perfil de riesgo real del sector. La transparencia técnica en las resoluciónes de la AEPD sería, por si sola, una medida más efectiva que muchas campanas de concienciacion.

La importancia de la respuesta a incidentes: un análisis técnico

Como perito que trabaja habitualmente en la respuesta a incidentes de ciberseguridad, quiero profundizar en un aspecto que considero fundamental y que el caso FUDEN ilustra con claridad: la diferencia entre una respuesta a incidentes profesional y una respuesta improvisada.

Las 4 fases de una respuesta a incidentes correcta

Según el framework del NIST (SP 800-61), la respuesta a incidentes se divide en cuatro fases: preparación, detección y análisis, contencion, erradicacion y recuperación, y actividad post-incidente. En cada fase, la calidad de la respuesta determina directamente el alcance del daño.

La fase de preparación es la más importante y la más ignorada. Una organización que invierte en prepararse para un incidente (plan de respuesta, simulacros, herramientas, formación) responde 10 veces mejor que una organización que improvisa. La diferencia no es solo técnica: es la diferencia entre estimar 50.000 afectados y poder confirmar la cifra exacta desde el primer dia.

El coste de la improvisacion

Cuando una organización no tiene un plan de respuesta a incidentes probado, la improvisacion genera costes adicionales significativos:

• Sobreestimacion o infraestimacion del alcance: Como ocurrio en FUDEN, donde la cifra se cuadruplico
• Destruccion de evidencia: El impulso natural de “restaurar cuanto antes” destruye la evidencia forense que se necesita para la investigación
• Comunicación inadecuada: Sin un protocolo de comunicación preestablecido, los mensajes a afectados, reguladores y medios son inconsistentes
• Decisión de pagar o no pagar el rescate: Sin un criterio predefinido y asesoramiento técnico, la decisión se toma bajo presion extrema y con información insuficiente
• Duracion extendida de la crisis: Lo que con un plan probado se resuelve en días, sin plan puede extenderse durante semanas o meses
• Costes legales mayores: Los abogados que se contratan de urgencia cobran tarifas premium y no conocen la organización

En mi experiencia, el coste total de un incidente de ransomware se duplica cuando la organización no tiene un plan de respuesta a incidentes. Para FUDEN, la diferencia entre un incidente gestionado profesionalmente y uno improvisado podría haber sido la diferencia entre 198.000 afectados confirmados con precision desde el primer día y 50.000 estimados que luego se multiplican por cuatro.

Mi protocolo de primera intervención

Cuando me contactan como perito para intervenir en un ataque de ransomware activo, sigo un protocolo estricto que he desarrollado a lo largo de mis investigaciones:

Hora 0-2: Llamada de triaje. Evaluo remotamente la situación: extension del cifrado, sistemás afectados, tipo de ransomware (si se ha identificado), existencia de backups y estado de la infraestructura. Doy instrucciones inmediatas: no apagar equipos, no formatear, no pagar el rescate sin análisis previo, aislar la red pero mantener los sistemás encendidos.

Hora 2-8: Llegada al sitio o conexión remota. Priorizo la adquisición de evidencia volatil: memoria RAM de los sistemás afectados, logs de red en tiempo real, procesos activos. Cada minuto que pasa se pierde evidencia. La memoria RAM contiene claves de cifrado, conexiones a servidores de C2, procesos del malware y credenciales utilizadas por el atacante.

Hora 8-24: Imagen forense de discos críticos. Mientras el equipo de TI de la organización trabaja en la restauracion de servicios esenciales desde backups (si existen), yo trabajo en paralelo en la adquisición forense de los discos afectados. Estas imagenes serán la base de toda la investigación posterior.

Hora 24-72: Análisis inicial y estimacion de alcance. Con la evidencia recopilada, genero un primer informe que incluye: vector de entrada probable, tiempo de permanencia estimado del atacante, sistemás comprometidos, volumen de datos potencialmente exfiltrados y una estimacion fundamentada del número de afectados. Este informe es el que la organización necesita para la notificación a la AEPD dentro de las 72 horas. La precision de este informe es fundamental: es la diferencia entre notificar con una estimacion de 50.000 afectados que luego se multiplica por cuatro (como ocurrio en FUDEN) y notificar con una cifra precisa que no necesita correccion posterior. La credibilidad de la organización ante la AEPD y ante los afectados depende en gran medida de la precision de esta primera comunicación.

Dias 3-14: Análisis forense completo. Investigación exhaustiva de toda la evidencia, reconstruccion de la cadena de ataque, determinacion del alcance exacto, generacion de indicadores de compromiso y elaboración del informe pericial definitivo.

Este protocolo es exactamente lo que habría evitado que FUDEN pasara de estimar 50.000 a confirmar 198.000 afectados. Con las herramientas adecuadas y acceso a la evidencia, es posible determinar el alcance real desde las primeras horas. No estimaciones: datos.

El papel de los seguros de ciberriesgo

Un aspecto que rara vez se discute en estos casos pero que tiene implicaciones prácticas significativas es el papel de los seguros de ciberriesgo. Cada vez más organizaciones contratan polizas de seguro que cubren los costes derivados de un ciberataque: investigación forense, restauracion de sistemas, asesoria legal, notificación a afectados y, en algunos casos, el pago del rescate.

Sin embargo, las aseguradoras estan endureciendo sus requisitos. Para obtener una poliza de ciberriesgo a un precio razonable, la organización debe demostrar que tiene implementadas medidas básicas de seguridad: MFA, EDR, copias de seguridad probadas, plan de respuesta a incidentes y formación del personal. Las aseguradoras hacen lo que la AEPD no hace: condicionan la cobertura a la existencia de medidas preventivas reales.

Esto genera una situación paradojica. Las organizaciones que tienen seguro de ciberriesgo son las que menos probabilidad tienen de necesitarlo (porque ya tienen las medidas básicas). Y las organizaciones que más lo necesitarian (como FUDEN, con 198.000 registros sin las medidas adecuadas) probablemente no podrían obtener una poliza, o la prima sería tan alta que resultaria prohibitiva.

Si FUDEN tenia seguro de ciberriesgo, la aseguradora habría cubierto parte de los costes del incidente, pero también habría analizado si la organización cumplia con los requisitos de la poliza. Si no los cumplia, la aseguradora podría haber denegado la cobertura. Y si no tenia seguro, los costes recayeron directamente sobre la fundación, lo que en una organización sin animo de lucro puede tener consecuencias serias para su capacidad operativa.

En cualquier caso, el coste del seguro de ciberriesgo para una organización del perfil de FUDEN oscila entre 5.000 y 20.000 euros anuales, más que la multa de la AEPD. Esto refuerza el argumento de que el mercado (las aseguradoras) esta valorando el riesgo de ciberseguridad de forma más realista que el regulador (la AEPD).

Reflexion final: por que este caso me afecta profesionalmente

Antes de cerrar, quiero compartir una reflexion personal. Como perito informático forense, mi trabajo consiste en documentar tecnicamente lo que ha ocurrido después de un incidente de seguridad. Soy la persona que llega cuando las cosas ya han salido mal. Veo los servidores cifrados, las bases de datos exfiltradas, los logs que muestran como el atacante se movio por la red durante semanas sin que nadie lo detectara. Y luego hablo con las personas afectadas.

He hablado con víctimás de brechas de datos que no podian dormir porque alguien habia abierto creditos a su nombre. He hablado con directivos de organizaciones que habian rechazado una propuesta de 40.000 euros en ciberseguridad y ahora estaban pagando 300.000 euros en gestión de crisis. He hablado con responsables de TI que llevaban años pidiendo presupuesto para medidas básicas y que ahora eran senalados como responsables del incidente.

El caso FUDEN cristaliza todo lo que esta mal en la forma en que España aborda la ciberseguridad de los datos personales. Una organización que gestiona datos de 198.000 personas sin las medidas adecuadas. Un grupo criminal que explota esa debilidad de forma metodica. Un regulador que sanciona con una cifra simbolica. Y 198.000 personas cuya identidad esta comprometida durante años. Cada pieza de este caso es un fallo sistémico, y la multa de 9.000 euros es la prueba de que el sistema no esta funcionando.

Conclusión

El caso FUDEN/SATSE es un ejemplo de manual de lo que puede salir mal cuando una organización gestiona datos sensibles de casí 200.000 personas sin las medidas técnicas proporcionales al riesgo. Y la sanción de 9.000 euros es un ejemplo de lo que puede salir mal cuando el sistema sancionador no genera un efecto disuasorio real.

Como perito informático forense, lo que más me preocupa no es este caso en particular, sino el precedente que sienta. Si exponer las copias del DNI de 198.000 personas cuesta 9.000 euros, el calculo coste-beneficio para invertir en ciberseguridad no sale. Ninguna organización racional va a destinar 100.000 euros anuales en medidas de protección cuando el riesgo sancionador demostrado es de 9.000 euros. La multa debería ser el incentivo para invertir en prevención. A este nivel, es el incentivo para no invertir.

Los 198.000 enfermeros afectados tendrán que vigilar su identidad durante años. Hunters International sigue operando y buscando nuevas víctimas. La dark web sigue vendiendo paquetes de identidad al mejor postor. Y la próxima organización sanitaria que reciba un ataque de ransomware mirara esta multa y pensara que el coste regulatorio es perfectamente asumible. Ese es el verdadero problema.

El verdadero coste de esta brecha no son los 9.000 euros de multa. Son los fraudes de identidad que sufriran los afectados en los próximos meses y años. Son las horas que dedicaran a gestionar alertas bancarias, a llamar a su banco para bloquear operaciones sospechosas, a presentar denuncias cuando alguien use su DNI para abrir una cuenta a su nombre. Son las noches sin dormir pensando si manana apareceran movimientos desconocidos en su cuenta. Esos costes, invisibles para la AEPD, son los que deberían determinar la proporcionalidad de la sanción.

España necesita un debate serio sobre si el régimen sancionador actual de la AEPD en materia de brechas de datos esta cumpliendo su función disuasoria. Porque con multas como esta, la respuesta es claramente no. Y con NIS2 en trámite de transposición, la incongruencia será aun más evidente: una directiva europea que exige medidas de seguridad robustas y sanciones de hasta 10 millones de euros conviviendo con una práctica sancionadora nacional que impone 9.000 euros por la exposicion masiva de documentos de identidad.

No pido sanciones desproporcionadas ni multas que quiebren a fundaciones sin animo de lucro. Pido proporcionalidad real. Pido que la AEPD valore el daño a los afectados con el mismo peso que valora la cooperacion del infractor. Pido que el sistema sancionador genere incentivos para que las organizaciones inviertan en seguridad antes del incidente, no solo para que cooperen después. Pido que los 198.000 enfermeros cuya identidad ha sido comprometida sientan que el regulador esta de su lado, no del lado de la organización que no protegio sus datos.

Y los que pagan las consecuencias no son las organizaciones que fallan en proteger nuestros datos, sino los 198.000 ciudadaños cuyos documentos de identidad ahora circulan por la dark web. A 0,045 euros por persona, ese es el precio que la AEPD ha puesto a la identidad de un enfermero en España. Como perito forense que ha visto las consecuencias reales de estas brechas en personas reales, ese precio me parece una ofensa.

Dentro de 6 meses publicare un seguimiento de este caso con los datos de fraude de identidad que se hayan materializado entre los afectados. Porque las consecuencias de esta brecha no terminan con la resolución de la AEPD. Acaban de empezar. Y alguien tiene que documentarlas.

Si tu organización trata datos personales a gran escala y quieres saber si tus medidas de seguridad son proporcionales al riesgo, contacta para una evaluación técnica independiente. Si eres uno de los 198.000 enfermeros afectados y necesitas un informe pericial que vincule tecnicamente la brecha de FUDEN con un fraude sufrido, también puedo ayudarte.

Glosario de terminos técnicos utilizados en este artículo

Para los lectores que no tengan formación técnica en ciberseguridad, incluyo un glosario breve de los terminos más relevantes utilizados en este análisis:

Artículos relacionados

• Brechas de datos en el sector sanitario español: AEPD multa a Cruz Roja y FUDEN
• Ciberataques al sector sanitario en España: 2.400 ataques por semana
• AEPD multa a Aena con 10 millones por reconocimiento facial
• España, sexto pais del mundo en ataques de ransomware
• Ransomware y PYMEs: el 57% recupera los datos sin pagar rescate
• Que es el ransomware: guía completa

Fuentes y referencias

1. Confilegal (2026). “La AEPD multa a FUDEN y SATSE por la brecha de datos que afecto a 198.000 enfermeros”. 13 Feb 2026. https://confilegal.com/20260213-aepd-multa-fuden-satse-brecha-datos-enfermeros/

2. INCIBE (2026). Aviso de seguridad sobre brecha de datos en organización sanitaria. https://www.incibe.es/ciudadania/avisos

3. Escudo Digital (2026). “Hunters International ataca a FUDEN: datos de 198.000 enfermeros expuestos”. https://www.escudodigital.com/ciberseguridad/hunters-international-fuden-brecha-datos-enfermeros

4. AEPD (2026). Resoluciónes y procedimientos sancionadores. https://www.aepd.es/informes-y-resoluciónes/resoluciónes

5. SOCRadar (2024). “Dark Web Profile: Hunters International Ransomware Group”. https://socradar.io/dark-web-profile-hunters-international/

6. Reglamento (UE) 2016/679 (RGPD). Artículos 30, 32, 33, 34, 35, 37, 82 y 83. https://eur-lex.europa.eu/eli/reg/2016/679/oj

7. IBM Security (2025). “Cost of a Data Breach Report 2025”. https://www.ibm.com/reports/data-breach

8. BleepingComputer (2024). “Hunters International ransomware group linked to Hive”. https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-hive/

9. AEPD (2025). “Guía para la notificación de brechas de datos personales”. https://www.aepd.es/guías/guía-brechas-seguridad

10. CCN-CERT (2025). “Informe de amenazas: grupos ransomware activos contra organizaciones españolas”. https://www.ccn-cert.cni.es/informes/informes-ccn-cert-públicos

11. Agencia EFE (2023). “El FBI desmantela la red de ransomware Hive tras infiltrarse durante meses”. https://www.efe.com/efe/españa/sociedad/fbi-desmantela-ransomware-hive/

12. CNIL (2021). Deliberation de la formation restreinte SAN-2021-014 - sanción a laboratorio de análisis clinicos. https://www.cnil.fr/fr/la-formation-restreinte-de-la-cnil-prononce-une-amende

13. ENISA (2025). “Threat Landscape for Ransomware Attacks 2025”. https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks

14. Directiva (UE) 2022/2555 (NIS2). Medidas para un elevado nivel común de ciberseguridad en la Union. https://eur-lex.europa.eu/eli/dir/2022/2555/oj

15. Group-IB (2024). “Hunters International: From Hive Ashes to Global Ransomware Threat”. https://www.group-ib.com/blog/hunters-international/

16. Bitdefender (2024). “Technical Analysis: Hunters International Ransomware Decryptor”. https://www.bitdefender.com/blog/labs/hunters-international-ransomware-analysis/

17. CNPD Portugal (2018). Deliberacao 984/2018 - Sanción al Hospital do Barreiro-Montijo. https://www.cnpd.pt/decisoes/deliberacoes/

18. Autoriteit Persoonsgegevens (2021). Sanción al Hospital OLVG Amsterdam por acceso no autorizado a historiales. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/

Sobre el autor: Jonathan Izquierdo es perito informático forense con más de 10 años de experiencia en análisis de evidencias digitales y respuesta a incidentes. Ex-CTO y 5x AWS Certified, aplica metodología ISO 27037 en todas sus investigaciones periciales. Ha elaborado informes periciales en más de 50 casos de brechas de datos, ransomware y fraude digital. Su area de especializacion incluye la respuesta a incidentes de ransomware, el análisis forense post-brecha y la elaboración de informes periciales para procedimientos ante la AEPD y los tribunales de justicia.

Descargo de responsabilidad: Las opiniones expresadas en este artículo son exclusivamente del autor en su capacidad profesional como perito informático forense. El análisis crítico de la sanción de la AEPD se basa en la información pública disponible y en la experiencia profesional del autor en casos similares. Los datos de los casos anonimizados se presentan con fines educativos y preventivos, con alteraciones para proteger la confidencialidad de los involucrados. Las estimaciones económicas son orientativas y se basan en datos del mercado y en la experiencia del autor, no en información interna de FUDEN o de la AEPD.

Última actualizacion: Marzo 2026.