REVISTA AUDITORÍA PÚBLICA / 86






         I. Introducción.                                    Otros impactos incluyen pérdidas financieras, pero este
                                                             es un impacto difícil de evaluar. El estudio ENISA “NIS
                                                             Investment 2022” indica que el coste medio de un in-
         Desde 2022 el sector sanitario europeo se ha enfrenta-  cidente importante de seguridad en el sector sanitario
         do a un número importante de ciberincidentes. Los pro-  es de 300.000 euros. Según ENISA, solo el 27% de las
         veedores de atención sanitaria de la UE, especialmente   organizaciones encuestadas en el sector de la salud tie-
         los hospitales, se han visto especialmente afectados.   nen un programa de defensa contra ransomware y el
         También  se  observa  incidentes  contra  autoridades,  or-  40% de las organizaciones no tienen ningún programa
         ganismos y agencias sanitarias y ataques a la industria   de concienciación sobre la seguridad para el personal.
         farmacéutica. A modo de ejemplo, recordamos el último   En otra encuesta reciente realizada por el grupo de coo-
         ciberataque que sufrió un centro sanitario del Estado, el   peración  NIS,  el  95%  de  las  organizaciones  de  salud
         Hospital Clínic Barcelona (5-03-23), y el esfuerzo de la   encuestadas enfrentan desafíos al realizar evaluaciones
         Agencia de Ciberseguridad de Catalunya para el análisis   de riesgos, mientras que el 46% nunca ha realizado un
         y recuperación de los sistemas de información robados.  análisis de riesgos. Estos resultados indican una nece-
                                                             sidad apremiante para que las organizaciones de salud
         El ransomware es la principal amenaza en el sector sa-  apliquen prácticas de ciberhigiene. Estos pueden incluir
         nitario, tanto por el número de incidentes como por su   copias de seguridad cifradas fuera de línea de datos crí-
         impacto en las organizaciones sanitarias. De hecho, el   ticos, programas de concientización y capacitación para
         43% de los incidentes de ransomware van acompaña-   profesionales de la salud, manejo y parcheo de vulnera-
         dos de una filtración o robo de datos. La mitad del total   bilidades, métodos de autenticación más sólidos, planes
         de incidentes son amenazas contra los datos de las or-  de respuesta a incidentes cibernéticos y planes de con-
         ganizaciones sanitarias (violaciones de datos, fugas de   tingencia.
         datos).  Además, los ataques a la cadena de suministro
         y a los proveedores de servicios de atención médica han   Todas etas cuestiones han sido tratadas en distintitos
         causado interrupciones o pérdidas a las organizaciones   informes y protocolos de ENISA y especialmente en el
         del sector de la salud. En un reciente estudio de ENISA,   informe “Threat landscape: health sector (January 2021
         la sanidad fue el sector que más incidentes de seguridad   to March 2023),” antes citado.  Los informes tienen como
         declaró relacionados con vulnerabilidades en software o   objetivo aportar nuevos conocimientos sobre l realidad
         hardware.                                           del sector de la salud mediante el mapeo y el estudio
                                                             de incidentes cibernéticos desde de 2020 hasta marzo
         Por otro lado, los acontecimientos geopolíticos y la activi-  de 2023. Identifica las principales amenazas, actores,
         dad hacktivista aumentaron el número de ataques DDoS   impactos y tendencias basándose en el análisis de los
         contra hospitales y autoridades sanitarias a principios de   ciberataques dirigidos a organizaciones de salud durante
         2023, alcanzando el 9% del total de incidentes. Esto se   los últimos tres años que seguidamente analizamos.
         debió a un aumento de los ataques DDoS por parte de
         grupos hacktivistas prorrusos que tenían como objetivo
         perturbar a los proveedores de atención médica y a las
         autoridades sanitarias de la UE. Todos los datos indican   II. Panorama de las ciberamenazas
         que esta tendencia continuará en los próximos años.        al sector sanitario de Europa.

         En términos de impacto, los incidentes observados   El sector sanitario fue seleccionado por la Agencia Eu-
         provocaron principalmente violaciones o robo de datos   ropea debido a la importancia para los ciudadanos euro-
         (43%), interrupciones en los servicios de salud (22%) y   peos y la especial protección de los datos de salud.  Ya
                                                                                                          3
         otros servicios no relacionados con la salud (26%). Las   en informes anteriores (Informe ENISA Threat Landscape
         filtraciones de datos afectaron a entidades sanitarias en   2022),  apuntó  que  alrededor  del  7%  de  los  incidentes
         el 40% del total de incidentes y, en particular, a hospita-  observados tenían como objetivo organizaciones sanita-
         les (27%) y atención primaria (8%). La interrupción de   rias. Además, el 32 % de los incidentes con un impacto
         los servicios de salud se produjo cuando las entidades   significativo notificados con arreglo a la Directiva sobre
         de salud (82%) y las autoridades de salud (12%) fueron   seguridad de las redes y de la información en 2022 fue-
         perturbadas.                                        ron incidentes en el sector sanitario de la UE. En este







         3  Sobre este particular nos remitimos a trabajos anteriores: Jareño Butron, M. y Arratibel Arrondo, J.A.: “Técnicas para el control del tratamiento masivo de datos personales
         en el sector público sanitario.” Revista Auditoría Pública nº 81 enero - junio 2023. Páginas: 180-195.


          110