¿La iniciativa de crear expedientes médicos digitales de los adultos mayores representa un nuevo desafío en materia de ciberseguridad?

Recientemente, la presidencia de México anunció una iniciativa significativa en el ámbito de la salud pública: la creación de expedientes médicos digitales únicos para todos los beneficiarios del programa federal Salud Casa por Casa. Estos expedientes podrán ser consultados en cualquier centro de salud del IMSS, ISSSTE o IMSS-Bienestar, y concentrarán información altamente sensible como datos personales, historial clínico y registros de atención médica.

Este avance plantea una pregunta crítica: ¿qué tan protegidos están realmente los derechohabientes frente a posibles ciberataques o filtraciones de información?

El programa Salud Casa por Casa, parte de los Programas para el Bienestar, tiene como objetivo principal brindar atención médica preventiva y personalizada a domicilio a adultos mayores de 65 años y personas con discapacidad, quienes ya son derechohabientes de las Pensiones para el Bienestar. Busca mejorar su calidad de vida, promover la prevención de enfermedades y disminuir la saturación en hospitales y clínicas.

El programa inició con un censo realizado entre octubre y diciembre de 2024, y las visitas médicas comenzaron en febrero de 2025. Se prevé atender a cerca de 13.6 millones de personas en aproximadamente 12 millones de hogares. Más de 21,500 profesionales de la salud —médicos, enfermeras y facilitadores— realizan las visitas, donde registran información y entregan una cartilla de salud para dar seguimiento a cada beneficiario.

Durante el censo, los servidores de la nación recopilan información a través de un cuadernillo con más de 80 preguntas divididas en varias categorías:

• Datos personales: nombre, CURP, identificación oficial, dirección y teléfono de contacto.
• Salud: historial clínico, antecedentes médicos, esquema de vacunación, enfermedades crónicas, medicamentos, discapacidad, estudios clínicos y visitas médicas.
• Otros aspectos: salud emocional, alimentación, actividad física, relaciones familiares, condiciones de vivienda, nivel educativo, ingresos, tiempo de ocio, así como situaciones de violencia y discriminación.

Hasta marzo de 2025, se reportó que el censo había alcanzado a 7.1 millones de adultos mayores y personas con discapacidad.

En mayo de 2025, la presidenta Claudia Sheinbaum anunció que todos los beneficiarios del programa contarían con un expediente médico digital consultable en centros del IMSS, ISSSTE e IMSS-Bienestar. Este expediente incluirá datos personales, historial clínico y registros de las visitas médicas. Su propósito es facilitar la continuidad de la atención, evitar la repetición de preguntas en cada consulta y garantizar un seguimiento integral, especialmente para enfermedades crónicas.

No obstante, los protocolos específicos para la protección de estos datos personales aún no se han divulgado públicamente. Se supone que están protegidos bajo ciertas medidas de seguridad, pero la disponibilidad de estos expedientes en los sistemas del IMSS, ISSSTE e IMSS-Bienestar podría representar riesgos si las plataformas no están bien integradas o adecuadamente protegidas. Algunos de estos riesgos incluyen:

• Falta de transparencia: No se han detallado los protocolos de seguridad para el almacenamiento y manejo de los expedientes digitales, generando incertidumbre.
• Ataques dirigidos: La centralización de datos sensibles puede atraer ataques de ransomware o ventas ilegales en la dark web, como ha ocurrido anteriormente con el IMSS.
• Errores humanos: Personal involucrado podría ser víctima de phishing o comprometer la seguridad de los datos de forma inadvertida.
• Privacidad: La inclusión de datos emocionales, familiares y socioeconómicos puede percibirse como intrusiva si no se garantiza un consentimiento informado adecuado.

El programa Salud Casa por Casa representa un avance en la atención preventiva, pero la recopilación masiva de datos personales y médicos implica riesgos considerables en materia de ciberseguridad, sobre todo si se consideran antecedentes como las filtraciones sufridas por el IMSS.

En México, los datos filtrados, incluyendo los de instituciones gubernamentales, suelen venderse o subastarse en foros clandestinos para fines ilícitos como extorsión, fraude o hacktivismo. Una vez en la dark web, la eliminación de esta información es casi imposible, ya que se replica y redistribuye continuamente.

Entre los riesgos específicos que trae la creación del expediente médico digital se encuentran:

• Filtraciones de datos: La experiencia del IMSS con filtraciones en 2021 y 2025 muestra que las bases de datos gubernamentales son un objetivo atractivo para cibercriminales. Una filtración masiva podría exponer a millones de adultos mayores a fraudes, suplantación de identidad o extorsión.
• Phishing: Tanto servidores de la nación como beneficiarios pueden ser blanco de ataques para obtener acceso a los sistemas de almacenamiento.
• Configuraciones vulnerables: Sistemas mal configurados o desactualizados pueden ser explotados, como ha ocurrido en múltiples incidentes cibernéticos.

Es importante recordar que el IMSS ha enfrentado al menos dos incidentes graves de filtraciones de datos (2021 y una amenaza en 2025) y un ataque de ransomware en 2019, situación que pone en evidencia la vulnerabilidad institucional en materia de ciberseguridad.

Incidentes relevantes:

• En mayo de 2019, el IMSS sufrió un ataque de ransomware que afectó sus sistemas informáticos, interrumpiendo servicios administrativos y de atención en clínicas y oficinas. Este ataque explotó vulnerabilidades por falta de parches de seguridad, paralizando operaciones críticas, aunque no se confirmó una filtración masiva.
• En febrero de 2021 se reportó la venta en internet de bases de datos con información personal de afiliados al IMSS, junto con datos de bancos como BBVA y Santander. Esta información incluía nombres, números de seguridad social, direcciones y posiblemente datos financieros. La exposición aumentó el riesgo de fraudes y suplantación de identidad. No se hicieron públicos detalles sobre medidas mitigantes.
• En junio de 2025, una publicación en Telegram alertó sobre la posible venta de una base de datos actualizada del IMSS. Aunque no fue confirmada oficialmente, la publicación generó preocupación sobre la persistencia del riesgo.
• El 12 de junio de 2025, un delincuente afirmó en un foro dedicado a filtraciones que poseía una base de datos del IMSS con 56 millones de registros, ofreciendo la venta mediante Telegram.

No existen registros públicos específicos de otras filtraciones masivas, pero dada la tendencia creciente de ciberataques en México, no es descartable que haya habido incidentes menores no reportados.

Dada la sensibilidad de la información que maneja, el IMSS es un blanco constante para ciberataques, lo que afecta la confianza de los derechohabientes en la seguridad de sus datos.

¿Qué medidas debe implementar el IMSS y la Secretaría de Bienestar?

• Fortalecer la ciberseguridad: Implementar cifrado de extremo a extremo, autenticación multifactor y auditorías regulares para proteger los expedientes digitales.
• Transparencia: Publicar informes claros sobre las medidas de protección de datos y cumplimiento normativo en materia de privacidad.
• Capacitación: Entrenar a todo el personal involucrado para prevenir ataques como phishing y asegurar el correcto manejo de datos.
• Consentimiento informado: Garantizar que los beneficiarios comprendan qué datos se recopilan, cómo serán usados y protegidos.
• Monitoreo continuo: Establecer sistemas de detección en tiempo real para identificar accesos no autorizados o intentos de intrusión.

La transformación digital en el cuidado de la salud ofrece beneficios claros, pero también implica desafíos éticos cruciales. La privacidad y confidencialidad deben priorizarse mediante el uso de tecnologías de cifrado, copias de seguridad y acceso restringido sólo a personal autorizado.

El consentimiento informado es fundamental, especialmente para adultos mayores, quienes deben entender plenamente el tratamiento digital de su información y dar su aprobación libremente.

Finalmente, es indispensable establecer un marco ético claro que garantice transparencia, responsabilidad y regulación sobre el uso de datos de salud. Esto implica informar a los usuarios sobre el uso de su información, delimitar responsabilidades entre desarrolladores, proveedores y profesionales, y contar con protocolos para la gestión de incidentes y mitigación de riesgos.

Para fomentar la confianza, se recomienda capacitar continuamente al personal, evaluar riesgos de forma permanente y rendir cuentas ante cualquier brecha, garantizando así un enfoque integral y seguro para la salud digital de los adultos mayores.

----

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599