Por qué las historias clínicas se convirtieron en uno de los principales objetivos del ciberdelito

Las historias clínicas se convirtieron en un objetivo del delito digital. Flavia Méndez, CEO de la Cyber Summit Argentina, explicó en Infobae A las Nueve que el sector de la salud concentra riesgos por la cantidad de información sensible que almacenan hospitales, sanatorios y empresas que prestan servicios tecnológicos.

El problema no se limita al robo directo a una clínica o a un laboratorio. Muchas veces, el ataque apunta a un proveedor externo que procesa, guarda o administra los sistemas donde quedan alojados los estudios y registros médicos.

La especialista describió ese mecanismo como un ataque a una tercera parte. Es decir, el ciberdelito no siempre entra por la institución médica, sino por la empresa que le presta servicios.

“No te atacan directamente al sanatorio”, explicó Méndez. También precisó que esas compañías concentran datos de distintos centros de salud, por lo que una sola filtración puede afectar a múltiples instituciones.

En ese marco, recordó un caso ocurrido en abril de 2025. La especialista señaló que esa empresa brindaba servicios tecnológicos a prestadores de diagnóstico, hospitales y sanatorios. Por eso, cuando sufrió la filtración, también quedaron expuestos datos vinculados con las organizaciones que utilizaban su plataforma.

Méndez agregó que los centros de salud no solo deben proteger su propia infraestructura. También deben revisar las condiciones de seguridad de las empresas externas con las que trabajan y exigir resguardos sobre el tratamiento de la información.

Por qué los datos médicos valen más

La CEO de la Cyber Summit Argentina sostuvo que las historias clínicas tienen un valor económico alto en circuitos ilegales de internet. Según afirmó, “los datos clínicos” tienen “un costo de diez a quince veces más” que los datos financieros en la deep web.

También remarcó la escala global del fenómeno. “El ciberdelito hoy en el mundo es de diez punto cinco billones de dólares”, dijo. Y agregó que, si se lo comparara con el producto de un país, quedaría detrás de Estados Unidos y China.

Durante la entrevista, Méndez planteó que no siempre resulta posible identificar con precisión quién compra esa información ni con qué fin específico. Aun así, sostuvo que existe un interés concreto de estados, particulares y empresas.

En ese sentido, explicó que los datos médicos pueden resultar útiles para conocer enfermedades preexistentes o perfiles sanitarios. También mencionó que esa información puede tener valor estadístico, aunque advirtió que su uso debería darse con resguardo de identidad y no con datos personales expuestos.

La obligación de informar y el debate regulatorio

Méndez afirmó que en la Argentina no existe una obligación extendida para que empresas e instituciones informen de inmediato cuando sufren un ataque o una filtración de datos. Según dijo, muchas veces esos episodios se conocen porque un periodista accede a la información.

“En otros países” existen leyes que obligan a las empresas o instituciones médicas a informar cuando se produce una filtración, señaló. Para la especialista, esa exigencia permite que las personas afectadas sepan qué ocurrió con sus datos.

Como ejemplo, mencionó el caso de Chile. Indicó que ese país cuenta con una ley de ciberseguridad de 2024, implementada durante 2025, y que allí algunos sectores deben informar incidentes dentro de una hora.

También recordó el apagón de Chile de febrero de 2025. En ese episodio, según explicó, las empresas debieron comunicar qué había pasado durante la primera hora, aunque en ese caso no se trató de un ciberdelito sino de una falla del sistema eléctrico.

Para Méndez, la regulación debe alcanzar tanto al sector privado como al Estado. Aclaró que la responsabilidad inicial de revisar la seguridad de un proveedor recae sobre cada empresa, pero insistió en que hacen falta normas y controles públicos.

Ransomware, rescates e impacto en la atención médica

La especialista identificó al ransomware como una de las modalidades más usadas. Se trata de un un programa malicioso que restringe el acceso a los archivos de un equipo. Lo definió como una extorsión en la que los atacantes secuestran los datos y exigen un pago para devolver el acceso.

“Tus datos fueron secuestrados”, ejemplificó sobre el mensaje que suele aparecer en pantalla durante este tipo de ataques. Luego, los delincuentes piden pagos en bitcoins y la organización afectada debe decidir si negocia o no.

Méndez sostuvo que no se recomienda pagar rescates. Explicó que, incluso si una institución acepta la exigencia, nadie garantiza la recuperación completa de la información ni evita que esos datos terminen igual en la deep web.

También advirtió que un ataque de este tipo puede dejar a un hospital o sanatorio sin capacidad de atención. Si no se accede a alergias, estudios, radiografías u operaciones programadas, el problema deja de ser solo informático y pasa a impactar sobre la salud de los pacientes.

Qué errores facilitan las filtraciones

La especialista sostuvo que la prevención no depende solo de los sistemas. También depende de prácticas internas básicas y de la capacitación del personal que usa esas plataformas todos los días.

Como ejemplo, señaló que todavía es frecuente ver usuarios y contraseñas anotados y visibles en puestos de trabajo. Para ella, ese tipo de conductas abre una vía simple para nuevas filtraciones.

A nivel individual, recomendó verificar siempre el sitio al que se ingresa y evitar entrar a enlaces enviados por correo electrónico, Telegram o WhatsApp cuando se trata de servicios sensibles.

Inteligencia artificial y datos personales

Por otra parte, la especialista hizo referencia al uso de inteligencia artificial sobre información médica. Advirtió que subir análisis o estudios con datos identificables implica perder control sobre ese contenido.

La especialista explicó que, una vez que los datos personales ingresan en esos sistemas, quedan expuestos. Por eso, sostuvo que si alguien necesita usar ese tipo de herramientas debe quitar antes toda referencia identificatoria.

“No hay que poner datos personales”, remarcó. En su explicación, planteó que la información solo debería utilizarse de manera anonimizada.

Además, recordó que la Argentina tiene una ley de datos personales de hace 26 años. Según dijo, antes de discutir la regulación de la inteligencia artificial, resulta necesario actualizar ese marco para definir cómo se protegen y usan los datos.

--

Infobae te acompaña cada día en YouTube con entrevistas, análisis y la información más destacada, en un formato cercano y dinámico.

• De 7 a 9: Infobae al Amanecer: Nacho Giron, Luciana Rubinska y Belén Escobar.

• De 9 a 12: Infobae a las Nueve: Gonzalo Sánchez, Tatiana Schapiro, Ramón Indart y Cecilia Boufflet.

• De 12 a 15: Infobae al Mediodia: Maru Duffard, Andrei Serbin Pont, Jimena Grandinetti, Fede Mayol y Facundo Kablan.

• De 15 a 18: Infobae a la Tarde: Manu Jove, Maia Jastreblansky y Paula Guardia Bourdin; rotan en la semana Marcos Shaw, Lara López Calvo y Tomás Trapé

• De 18 a 21: Infobae al Regreso: Gonzalo Aziz, Diego Iglesias, Malena de los Ríos y Matías Barbería; rotan en la semana Gustavo Lazzari, Martín Tetaz y Mica Mendelevich

Seguinos en nuestro canal de YouTube @infobae.