Objetivo codiciado
Durante años, las bases de datos bancarias fueron consideradas el principal botín de los ciberdelincuentes. Sin embargo, el escenario cambió. Hoy, los hospitales, clínicas, sanatorios y empresas tecnológicas vinculadas a la salud se encuentran en el centro de una nueva disputa silenciosa: la que tiene como objetivo las historias clínicas de millones de personas. Para Alan Mai, especialista en ciberseguridad, estos registros se transformaron en un activo tan valioso que ya son considerados una especie de "oro digital" dentro de los mercados ilegales que operan en la deep web. "No es el único 'oro digital', pero sí son 'oro digital'", advirtió en diálogo con BigBang.
Y explicó: "Hoy el sector salud concentra un riesgo crítico, por el volumen de información altamente sensible que administran los hospitales, sanatorios, clínicas y empresas de tecnología médica. El fraude digital dejó de ser un caso aislado para convertirse en una industria automatizada, y estos registros estables son el insumo perfecto". La razón detrás de ese interés es simple: mientras una tarjeta de crédito puede bloquearse en cuestión de minutos, una historia clínica acompaña a una persona durante toda su vida. "Porque una tarjeta de crédito o una credencial bancaria se dan de baja y expiran en pocos minutos; tienen fecha de vencimiento", señaló.
Y sumó: "Pero una historia clínica es permanente: tus enfermedades preexistentes, tus datos genéticos, tu número de documento y tu historial clínico no cambian con el tiempo. Ese valor e inmutabilidad hacen que en los circuitos ilegales de la deep web cotice de diez a quince veces más que un dato financiero tradicional". La información médica robada permite mucho más que conocer diagnósticos. Según Mai, representa una puerta de entrada para delitos cada vez más sofisticados. "De todo. Desde fraudes de suplantación de identidad avanzada y compras de medicamentos de alto costo a nombre de la víctima, hasta campañas de phishing de precisión absoluta", advirtió.
Según explicó, conociendo un diagnóstico real, "un atacante puede estructurar un engaño hiperpersonalizado haciéndose pasar por un laboratorio o un médico para exigir pagos urgentes, anulando cualquier sospecha del paciente". Uno de los aspectos que más preocupa a los especialistas es que muchas veces los delincuentes ni siquiera necesitan vulnerar directamente a una clínica o a un hospital. El ataque suele producirse a través de proveedores externos que almacenan, procesan o administran la información. "Es uno de los vectores dominantes de este año. Desde Bloka siempre remarcamos que la seguridad ya no es solo interna", dijo.
Y continuó: "Podés invertir fortunas en proteger tu institución, pero si el proveedor externo que administra tus imágenes médicas o procesa tus bases de datos tiene accesos débiles o una validación pobre, el atacante va a entrar por ahí". El especialista recordó que la filtración masiva registrada en Argentina durante abril de 2025 dejó expuestos más de 665.000 estudios médicos y mostró con crudeza la magnitud del problema. "Puede una sola filtración afectar simultáneamente a cientos de miles de pacientes. Las plataformas que manejan la información de muchos laboratorios u hospitales hacen un efecto dominó: si cae el integrador, quedan expuestos los datos de decenas de instituciones cliente al mismo tiempo", sostuvo.
Las consecuencias de un ataque informático al sistema de salud exceden largamente el plano tecnológico. "Cuando un hospital recibe el mensaje 'sus datos fueron secuestrados', ocurre una crisis operativa absoluta, no solo informática. Los médicos se quedan sin acceso a historiales clínicos, las cirugías programadas muchas veces se suspenden, los laboratorios no pueden emitir resultados. Y la facturación se congela. Es una parálisis total donde la toma de decisiones se da bajo presión extrema", describió. Aunque muchas organizaciones terminan pagando rescates para intentar recuperar la información, el experto remarca que esa estrategia suele empeorar el problema. "Lamentablemente sí, muchas lo hacen por desesperación ante el caos", afirmó.
E, incluso, señaló: "Pero no es recomendable: los reportes demuestran que el 80% de las organizaciones que acceden a pagar el rescate vuelven a ser atacadas en el corto plazo. Primero, porque no hay ninguna garantía técnica de que los criminales devuelvan el acceso o destruyan las copias robadas. Segundo, porque financiar el delito solo industrializa y abarata sus próximas campañas". Si bien el fraude financiero es una de las principales amenazas, el especialista alertó sobre un riesgo aún más inquietante: la extorsión basada en información médica sensible. "El ransomware y la filtración de información confidencial son herramientas de extorsión directa. Imaginemos el impacto de un chantaje basado en revelar una condición médica delicada a los empleadores, familiares o entornos sociales de una víctima", resaltó.
En ese contexto, advirtió que "el daño deja de ser digital y se vuelve humano". Mai recordó además uno de los antecedentes más impactantes de la historia reciente de la ciberseguridad. "Es una de las facetas más perversas del ciberdelito actual. El antecedente global más dramático e histórico fue el hackeo al centro de psicoterapia Vastaamo en Finlandia. Al no recibir el pago por parte de la clínica, los delincuentes cambiaron de estrategia y empezaron a extorsionar de forma directa e individual a miles de pacientes, amenazándolos con filtrar en internet las notas de sus sesiones íntimas de terapia si no pagaban un rescate". contó.
Para el especialista, el país todavía mantiene una brecha importante entre la conciencia del riesgo y la implementación de medidas concretas para enfrentarlo. "Hay una conversación creciente y un mayor nivel de conciencia, pero en muchos sectores todavía encontramos una brecha enorme entre entender el riesgo y gestionarlo con controles sostenidos en el tiempo", señaló. También cuestionó la falta de mecanismos obligatorios para informar filtraciones de datos: "Tiene que cambiar de forma urgente. Muchas organizaciones ocultan los incidentes por miedo al daño reputacional o la pérdida de clientes".
El experto sostuvo que "el silencio corporativo no soluciona el problema de fondo; al contrario, deja a los usuarios completamente desarmados frente a futuras estafas basadas en sus datos robados". En ese sentido, destacó el modelo implementado por Chile. "Es el estándar hacia el que debemos avanzar. Chile implementó su ley marco exigiendo reportes de incidentes críticos en plazos sumamente estrictos de hasta una hora. En Argentina necesitamos normas públicas que fuercen una gobernanza transparente". La explosión de herramientas de inteligencia artificial abrió además un nuevo frente de preocupación.
Cada vez más personas cargan estudios médicos en plataformas de IA para obtener una interpretación rápida de los resultados. Para Mai, esa práctica puede convertirse en una amenaza para la privacidad: "Es sumamente peligroso si no se toman recaudos de anonimización. La adopción rápida de herramientas de IA generativa se está haciendo sin evaluar los riesgos ni establecer políticas claras de uso. Subir un análisis clínico completo, con tu nombre y el del centro médico expuestos, es regalar tu privacidad a bases de datos de terceros".
Y concluyó: "Se pierde el control total sobre ese contenido. Pasa a formar parte de los registros de procesamiento de una plataforma externa y puede ser indexado o reutilizado para entrenar nuevos modelos de lenguaje. La regla de oro es simple: si vas a usar IA para analizar datos, hay que quitar obligatoriamente cualquier referencia identificatoria primero".
