Llámenos: 93 414 00 66
Ciberseguridad en hospitales españoles en 2025: de los 2.443 ataques semanales a la Estrategia Nacional del SNS

Ciberseguridad en hospitales españoles en 2025: de los 2.443 ataques semanales a la Estrategia Nacional del SNS

Informática Médica
· 12 min de lectura

Introducción

La ciberseguridad en hospitales de España ya no es un asunto de departamentos de informática aislados: es una cuestión de seguridad del paciente. En 2025, el sector sanitario español registra una media de 2.443 ciberataques semanales, un incremento del 10% respecto al año anterior, lo que sitúa a España como el segundo país europeo más afectado según los datos de ENISA. El ransomware sigue siendo el vector principal, responsable del 45% de los incidentes graves, y el 67% de las organizaciones sanitarias a nivel global reconocen haber sido afectadas por este tipo de ataque durante 2024.

Frente a este panorama, el marco regulatorio y estratégico se ha puesto en marcha con urgencia: la Directiva NIS2 exige obligaciones concretas al sector sanitario, el Consejo Interterritorial del SNS aprobó en noviembre de 2025 la primera Estrategia de Ciberseguridad del Sistema Nacional de Salud 2025-2028, e INCIBE ha comenzado a desplegar el ES-ISAC Salud como centro sectorial de intercambio de información sobre amenazas.

Este artículo ofrece un análisis completo del estado de la ciberseguridad hospitalaria en España: las amenazas reales, los marcos regulatorios aplicables, la estrategia nacional, y las herramientas y arquitecturas que los responsables de seguridad de hospitales españoles deben conocer e implementar.

El panorama de amenazas: cifras que exigen acción

España en el punto de mira europeo

Según el informe Threat Landscape: Health Sector de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), publicado originalmente en 2023 y actualizado con datos de 2024, el sector sanitario es el tercer sector más atacado en la Unión Europea, solo por detrás de la administración pública y el transporte. Dentro de este panorama, España ocupa una posición particularmente expuesta: es el segundo país europeo con más ciberataques registrados al sector salud, solo detrás de Francia.

Los datos de Check Point Research para el periodo 2024-2025 confirman la tendencia al alza: las organizaciones sanitarias españolas enfrentan 2.443 ataques semanales, un incremento del 10% respecto a las cifras de 2024. Este volumen incluye desde intentos de phishing y escaneos automatizados hasta ataques dirigidos de ransomware con doble extorsión.

El ransomware como amenaza dominante

El informe State of Ransomware in Healthcare 2024 de Sophos aporta datos reveladores sobre la magnitud del problema. A nivel global, el 67% de las organizaciones sanitarias declararon haber sido víctimas de ransomware durante el año, una cifra que supera con creces la media intersectorial. El 45% de los incidentes graves en el sector sanitario europeo tienen el ransomware como vector principal.

Los grupos de ransomware han refinado sus tácticas contra hospitales. La doble extorsión (cifrado de datos combinado con amenaza de publicación) es ahora el modelo estándar. Los atacantes saben que los hospitales tienen una tolerancia al tiempo de inactividad extremadamente baja: cada hora con sistemas caídos puede traducirse en retrasos diagnósticos, cancelación de cirugías y, en casos extremos, riesgo para la vida de los pacientes. Esto genera una presión enorme para pagar rescates rápidamente.

Caso de estudio: el ataque al Hospital Clínic de Barcelona

El ciberataque al Hospital Clínic de Barcelona en marzo de 2023 sigue siendo el caso de referencia en la ciberseguridad hospitalaria española. El grupo RansomHouse logró cifrar sistemas críticos del hospital, provocando la cancelación de más de 4.000 análisis de laboratorio, 300 intervenciones quirúrgicas y 11.000 consultas ambulatorias durante las primeras semanas. El hospital operó en modo papel durante días, con un impacto asistencial que se prolongó durante meses.

Este incidente puso de manifiesto vulnerabilidades que son comunes a muchos hospitales españoles: segmentación de red insuficiente, sistemas heredados sin parches de seguridad, ausencia de detección y respuesta en endpoints (EDR), y planes de continuidad de negocio que no habían sido probados en escenarios reales de ciberataque. El coste total del incidente, incluyendo recuperación técnica, lucro cesante e impacto reputacional, se estimó en decenas de millones de euros.

Las lecciones del Clínic son claras y aplicables a cualquier hospital del SNS: la inversión en ciberseguridad no es un gasto discrecional, sino una necesidad clínica de primer orden.

Marco regulatorio: NIS2 y su problemática transposición en España

La Directiva NIS2

La Directiva (UE) 2022/2555, conocida como NIS2, entró en vigor en enero de 2023 con un plazo de transposición para los Estados miembros que venció el 17 de octubre de 2024. Esta directiva clasifica al sector sanitario como sector de alta criticidad, lo que impone a hospitales, laboratorios clínicos, fabricantes de productos farmacéuticos y fabricantes de productos sanitarios obligaciones específicas en materia de gestión de riesgos de ciberseguridad, notificación de incidentes y gobernanza.

Las obligaciones concretas para entidades sanitarias bajo NIS2 incluyen:

  • Análisis de riesgos y políticas de seguridad de los sistemas de información.
  • Gestión de incidentes: detección, respuesta, notificación a las autoridades competentes en 24 horas (alerta temprana) y en 72 horas (notificación completa).
  • Continuidad de negocio: planes de backup, recuperación ante desastres y gestión de crisis.
  • Seguridad de la cadena de suministro: evaluación de los riesgos de proveedores tecnológicos y sus prácticas de seguridad.
  • Gobernanza: los órganos de dirección de las entidades deben aprobar las medidas de ciberseguridad y recibir formación específica.

La transposición española: un retraso preocupante

España incumplió el plazo de transposición de octubre de 2024. A fecha de enero de 2025, el anteproyecto de ley de transposición de NIS2 aún se encontraba en fase de tramitación, sin haberse convertido en proyecto de ley ante las Cortes Generales. Este retraso sitúa a España entre los países europeos rezagados en la adaptación del marco de ciberseguridad sanitaria, junto con otros Estados miembros que también han enfrentado dificultades políticas o técnicas en la transposición.

El retraso no significa, sin embargo, que las obligaciones no existan. La Directiva NIS2, al ser una directiva y no un reglamento, necesita transposición para desplegar todo su efecto jurídico, pero los principios y orientaciones de la directiva ya están siendo utilizados como referencia por auditores, aseguradoras y organismos de supervisión.

La guía CCN-STIC 892: puente entre NIS2 y el ENS

Anticipándose a la transposición formal, el Centro Criptológico Nacional (CCN) publicó la guía CCN-STIC 892, que define un perfil de cumplimiento que mapea los requisitos de NIS2 con los controles del Esquema Nacional de Seguridad (ENS). Esta guía es especialmente relevante para los hospitales públicos españoles, que ya están obligados a cumplir el ENS, y proporciona una ruta práctica para ampliar su nivel de seguridad hasta satisfacer las exigencias adicionales de NIS2.

La guía establece correspondencias entre las categorías del ENS (Básica, Media, Alta) y los niveles de exigencia de NIS2, identificando las medidas adicionales necesarias en cada caso. Para hospitales de referencia y complejos hospitalarios de gran tamaño, se recomienda un nivel de cumplimiento alineado con la categoría Alta del ENS.

La Estrategia de Ciberseguridad del SNS 2025-2028

El 12 de noviembre de 2025, el Consejo Interterritorial del Sistema Nacional de Salud (CISNS) aprobó la primera Estrategia de Ciberseguridad del SNS 2025-2028, un documento que marca un antes y un después en la planificación de la ciberseguridad hospitalaria en España. Publicada en la web del Ministerio de Sanidad (sanidad.gob.es), la estrategia establece 8 objetivos estratégicos y 12 ejes de actuación que abarcan desde la gobernanza hasta la respuesta a incidentes.

Objetivos y ejes principales

Los 8 objetivos de la Estrategia de Ciberseguridad del SNS cubren:

  1. Gobernanza y coordinación: Establecer un modelo de gobernanza de ciberseguridad sanitaria con roles claros a nivel estatal y autonómico.
  2. Gestión de riesgos: Implantar marcos de análisis de riesgos específicos para el entorno clínico, donde la disponibilidad de sistemas puede ser crítica para la vida del paciente.
  3. Protección de activos: Definir medidas de protección proporcionadas para sistemas de información clínicos, dispositivos médicos conectados (IoMT) y sistemas de gestión hospitalaria.
  4. Detección y respuesta: Desplegar capacidades de monitorización continua y respuesta a incidentes en el conjunto del SNS.
  5. Recuperación y resiliencia: Garantizar la continuidad asistencial mediante planes de recuperación testados y actualizados.
  6. Formación y concienciación: Crear programas de formación para todos los niveles del personal sanitario, desde facultativos hasta administrativos.
  7. Colaboración público-privada: Articular mecanismos de colaboración con el sector privado, tanto proveedores tecnológicos como operadores de servicios sanitarios privados.
  8. Investigación e innovación: Fomentar la I+D en ciberseguridad aplicada al sector sanitario.

Los 12 ejes de actuación detallan las líneas de trabajo concretas, incluyendo la creación de un SOC (Security Operations Center) sectorial para sanidad, la estandarización de requisitos de ciberseguridad en la contratación pública de tecnología sanitaria, y el desarrollo de simulacros de ciberincidentes (cyber exercises) a nivel del SNS.

El ES-ISAC Salud de INCIBE

El Instituto Nacional de Ciberseguridad (INCIBE) ha puesto en marcha el ES-ISAC Salud, un centro sectorial de análisis e intercambio de información sobre amenazas (Information Sharing and Analysis Center) específico para el sector sanitario. Planificado para su despliegue operativo entre el cuarto trimestre de 2025 y el tercer trimestre de 2026, el ES-ISAC Salud actuará como punto de coordinación entre hospitales, servicios de salud autonómicos, CCN-CERT e INCIBE-CERT.

El objetivo del ES-ISAC Salud es proporcionar a las organizaciones sanitarias españolas indicadores de compromiso (IoC) específicos del sector, alertas tempranas de campañas de ransomware dirigidas a hospitales, y análisis de amenazas contextualizados que permitan una defensa proactiva. Esta iniciativa es especialmente relevante para hospitales medianos y pequeños que carecen de equipos de ciberseguridad propios y dependen de información externa para priorizar sus defensas.

Stack tecnológico: arquitecturas y herramientas para la defensa hospitalaria

La protección de un hospital moderno requiere una arquitectura de seguridad multicapa que combine frameworks de referencia, herramientas de prevención, detección y respuesta, y capacidades de monitorización continua.

Frameworks de referencia

  • NIST Cybersecurity Framework (CSF): El marco del NIST, actualizado a su versión 2.0 en 2024, proporciona las funciones de referencia (Identificar, Proteger, Detectar, Responder, Recuperar y la nueva función Gobernar) que estructuran cualquier programa de ciberseguridad hospitalaria.
  • MITRE ATT\&CK for Healthcare: La base de conocimiento de tácticas y técnicas adversarias de MITRE incluye matrices específicas para entornos sanitarios, permitiendo a los equipos de seguridad mapear las amenazas conocidas contra sus capacidades de detección y respuesta.

Arquitectura Zero Trust

El modelo Zero Trust ("nunca confiar, siempre verificar") es especialmente relevante para hospitales, donde la movilidad de profesionales entre plantas, servicios y centros, combinada con la proliferación de dispositivos médicos conectados, hace inviable una defensa basada solo en el perímetro de red.

  • Zscaler Zero Trust Exchange: Plataforma cloud que proporciona acceso seguro a aplicaciones sin exponer la red interna, eliminando la superficie de ataque lateral.
  • Palo Alto Networks Prisma Access: Solución SASE (Secure Access Service Edge) que combina firewall as a service, CASB y acceso zero trust en una plataforma unificada.

Detección y respuesta

  • CrowdStrike Falcon (EDR): Solución de Endpoint Detection and Response basada en la nube que utiliza inteligencia artificial para detectar comportamientos anómalos en endpoints, incluyendo estaciones de trabajo clínicas y servidores hospitalarios.
  • Microsoft Defender for IoT: Diseñado específicamente para entornos de tecnología operacional (OT) e IoT, es crítico para la monitorización de dispositivos médicos conectados (bombas de infusión, monitores de constantes, equipos de imagen) que frecuentemente operan con sistemas operativos obsoletos.

SIEM y monitorización

  • Splunk: Plataforma SIEM madura con capacidades avanzadas de correlación de eventos, dashboards específicos para entornos sanitarios y amplia biblioteca de detecciones.
  • Microsoft Sentinel: SIEM nativo en la nube con integración profunda en el ecosistema Microsoft, conectores para fuentes de datos sanitarias y capacidades SOAR (Security Orchestration, Automation and Response) integradas.

Herramientas del CCN-CERT

El Centro Criptológico Nacional proporciona a las entidades públicas españolas un conjunto de herramientas propias:

  • LUCIA: Sistema de gestión de incidentes de ciberseguridad que permite el registro, seguimiento y notificación de incidentes conforme a los requisitos del ENS y NIS2.
  • CARMEN: Plataforma de detección de amenazas avanzadas (APT) que analiza el tráfico de red en busca de comunicaciones con infraestructuras maliciosas conocidas.
  • REYES: Sistema de intercambio de información sobre ciberamenazas que centraliza indicadores de compromiso de múltiples fuentes nacionales e internacionales.

Controles técnicos fundamentales

Además de las plataformas mencionadas, todo hospital debe implementar controles técnicos básicos que, pese a su aparente simplicidad, siguen siendo la primera línea de defensa:

  • Cifrado AES-256 para datos en reposo y en tránsito, especialmente para bases de datos clínicas y comunicaciones entre centros.
  • Autenticación multifactor (MFA) con FIDO2/WebAuthn: La autenticación basada en estándares FIDO2 elimina la dependencia de contraseñas y resiste ataques de phishing, siendo especialmente adecuada para entornos donde los profesionales necesitan acceso rápido pero seguro.

Conclusión

La ciberseguridad en hospitales de España ha entrado en una nueva fase caracterizada por la convergencia de amenazas crecientes y respuestas regulatorias y estratégicas sin precedentes. Los 2.443 ataques semanales al sector sanitario español no son una estadística abstracta: representan riesgo clínico real para millones de pacientes. El ransomware, como demostró el caso del Hospital Clínic de Barcelona, puede paralizar la actividad asistencial de un hospital de referencia durante semanas.

La respuesta institucional, aunque tardía en algunos aspectos como la transposición de NIS2, está tomando forma con la Estrategia de Ciberseguridad del SNS 2025-2028 y el despliegue del ES-ISAC Salud. Los hospitales españoles tienen ahora un marco claro de actuación, herramientas proporcionadas por el CCN-CERT e INCIBE, y un ecosistema tecnológico maduro para implementar arquitecturas de defensa efectivas.

Sin embargo, la brecha entre la estrategia y la implementación real en cada hospital sigue siendo el principal desafío. Los equipos de ciberseguridad hospitalaria necesitan apoyo especializado para traducir marcos regulatorios en controles técnicos operativos, diseñar arquitecturas zero trust adaptadas a entornos clínicos y prepararse para los requisitos de NIS2.

Desde Informática Médica acompañamos a organizaciones sanitarias en el diseño e implementación de estrategias de ciberseguridad que equilibran protección, cumplimiento normativo y operatividad clínica. Si tu hospital necesita evaluar su postura de seguridad o prepararse para los requisitos de NIS2 y la Estrategia del SNS, contacta con nuestro equipo.

Referencias

  1. ENISA. Threat Landscape: Health Sector. European Union Agency for Cybersecurity, 2023 (actualización 2024). Disponible en: enisa.europa.eu
  2. Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a medidas destinadas a garantizar un nivel común elevado de ciberseguridad (NIS2). Anteproyecto de transposición español, enero 2025.
  3. Ministerio de Sanidad. Estrategia de Ciberseguridad del Sistema Nacional de Salud 2025-2028. Aprobada por el CISNS el 12 de noviembre de 2025. Disponible en: sanidad.gob.es
  4. CCN-STIC 892. Perfil de Cumplimiento NIS2 sobre el Esquema Nacional de Seguridad. Centro Criptológico Nacional. Disponible en: ccn.cni.es
  5. Sophos. The State of Ransomware in Healthcare 2024. Sophos Ltd., 2024.
  6. Check Point Research. Cyber Attacks on the Health Sector: 2024-2025 Statistics. Check Point Software Technologies, 2025.
  7. INCIBE. Plan ES-ISAC Salud: Despliegue T4 2025 - T3 2026. Instituto Nacional de Ciberseguridad de España.
  8. NIST. Cybersecurity Framework 2.0. National Institute of Standards and Technology, 2024.
  9. MITRE. ATT\&CK for Healthcare. The MITRE Corporation. Disponible en: attack.mitre.org

Utilizamos cookies propias y de terceros para mejorar la web mediante el análisis de la navegación y personalizar el contenido mediante tus preferencias. Para más información puedes consultar nuestra Política de Cookies.

Puedes aceptar todas las cookies mediante el botón “Aceptar todas”.

Puedes configurar o rechazar su uso pulsando en “Configuración de cookies”.

Cookies técnicas esenciales:
Son necesarias para gestionar la navegación dentro de la web o para mantener al usuario conectado. No se pueden desactivar porque afectaría al funcionamiento de la web.