El sector sanitario se ha consolidado como uno de los principales objetivos de los ciberdelincuentes a escala global, debido al alto valor y la sensibilidad de los datos que el sector gestiona.
En Estados Unidos, los ataques contra organizaciones de salud han alcanzado niveles sin precedentes, superando incluso a otros sectores tradicionalmente afectados como el financiero. En este artículo, analizaremos algunos de los ciberataques más relevantes:
Change Healthcare
El ciberataque de febrero de 2024 contra Change Healthcare –subsidiaria de UnitedHealth Group– ha sido catalogado como el mayor robo de datos médicos en la historia de Estados Unidos.
El ciberataque que fue atribuido al grupo de ransomware ALPHV (también conocido como BlackCat), no solo comprometió datos sensibles de aproximadamente 190 millones de personas, tras acceder a la red utilizando credenciales robadas que no estaban protegidas con autenticación multifactor, sino que también provocó la interrupción del sistema de salud estadounidense durante meses.
Parte de la información robada fue publicada por los atacantes, quienes exigieron un rescate para evitar una mayor divulgación, práctica común en este tipo de ataques. Al parecer, Change Healthcare pagó cerca de 22 millones de dólares en bitcoin como rescate, aunque oficialmente nunca se reveló el monto exacto.
El incidente causó a Change Healthcare una pérdida de 872 millones de dólares y prevén que esa cifra supere con creces los mil millones a largo plazo, incluyendo demandas colectivas pendientes y costos regulatorios.
Tricare
En septiembre de 2011, Tricare, el programa de atención médica que brinda servicios a soldados en activo, militares retirados y a sus familiares, sufrió una brecha de seguridad que afectó a cerca de 5 millones de pacientes, tras ser sustraídas varias cintas de respaldo de un vehículo de la contratista SAIC, encargada de transportarlas entre diferentes instalaciones, y aunque los datos almacenados en esas copias estaban cifrados, el método utilizado no era lo suficientemente robusto para garantizar su seguridad.
Este incidente impulsó revisiones en las políticas de protección de datos del programa militar.
Community Health Systems
Entre abril y junio de 2014, Community Health Systems (CHS), una de las mayores redes hospitalarias de Estados Unidos, con un total de 206 centros hospitalarios en aquel momento, sufrió una brecha de seguridad que expuso información personal de aproximadamente 4,5 millones de pacientes.
En 2019, CHS acordó pagar 3,1 millones de dólares para resolver una demanda colectiva presentada por pacientes afectados. En 2020, se llegó a otro acuerdo por 5 millones de dólares con 28 estados por no haber implementado medidas de seguridad adecuadas. Además, como parte del acuerdo, CHS se comprometió a mejorar su programa de seguridad de la información, incluyendo formación del personal, planes de respuesta a incidentes y controles de acceso más estrictos.
En 2023, CHS sufrió un ataque de ransomware vía el software GoAnywhere MFT de Fortra, exponiendo datos personales y de salud de hasta 1 millón de pacientes.
UCLA Health
Entre septiembre de 2014 y mayo de 2015, la red hospitalaria UCLA Health, que incluye cuatro hospitales y 150 oficinas en el sur de California, sufrió una filtración de datos sensibles que afectó a 4,5 millones de pacientes y empleados.
UCLA Health recibió una multa de 7,5 millones de dólares, por no informar la infracción de manera oportuna, lo que constituye una violación del protocolo de notificación de infracciones especificado en HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico).
UCLA Health ofreció servicios gratuitos de monitoreo de crédito e identidad a los posibles afectados y reforzó sus medidas de ciberseguridad, incluida la contratación de una empresa de ciberseguridad externa para proteger su red.
Advocate Health
Advocate Health sufrió una violación de datos que afectó a más de 4 millones de pacientes.
El incidente se produjo el 15 de julio de 2013 tras el robo de cuatro ordenadores personales sin cifrar de las oficinas administrativas de Advocate Medical Group en Park Ridge (Illinois).
La investigación concluyó que los ordenadores robados estaban en una sala sin vigilancia ni controles de acceso físico adecuados. Tampoco se habían implementado controles básicos de seguridad como el cifrado de datos.
Como consecuencia de estas deficiencias y la violación de las normas establecidas por la HIPAA, la organización fue sancionada con una multa de 5,55 millones de dólares por el Departamento de Salud y Servicios Humanos. Este caso es un referente para regulaciones sobre cifrado físico.
Medical Informatics Engineering
Medical Informatics Engineering (MIE), desarrollador de software de registros médicos electrónicos, sufrió una violación de datos entre el 7 y el 26 de mayo de 2015 que afectó a cerca de 3,5 millones de personas.
Los ciberatacantes accedieron entre los días 7 y el 26 de mayo de 2015 a uno de los servidores de MIE, utilizando credenciales comprometidas, lo que permitió que 239 clientes se vieran afectados por la filtración.
La Oficina de Derechos Civiles determinó que la filtración se produjo porque MIE no realizó un análisis de riesgos exhaustivo, incumpliendo la norma de seguridad HIPAA, lo que resultó en una multa de 100.000 dólares para la empresa.
En 2019, MIE resolvió una demanda iniciada por 16 fiscales generales estatales (presentada en diciembre de 2018) con un pago de 900.000 dólares.
Newkirk Products
Newkirk Products, uno de los principales proveedores de tarjetas de identificación sanitaria en Estados Unidos, sufrió una brecha de seguridad el 21 de mayo de 2016, cuando un ciberatacante explotó una vulnerabilidad en el portal administrativo de un software de terceros y accedió a un servidor aislado de Newkir Products, exponiendo los datos personales de más de 3 millones de personas, incluyendo a numerosos clientes de entidades sanitarias, entre ellas varias sucursales de Blue Cross Blue Shield, la mayor aseguradora médica del país por número de afiliados.
Detectado el incidente, Newkirk Products desconectó el servidor afectado, inició una investigación forense y notificó formalmente a los afectados, ofreciéndoles dos años de servicios gratuitos de protección y restauración de identidad contra el robo.
No consta que Newkirk Products fuese sancionada por parte del Departamento de Salud y Servicios Humanos (HHS) ni por la Oficina de Derechos Civiles (OCR).
Banner Health
Banner Health sufrió en 2016 una brecha de seguridad que expuso datos personales y médicos de 3,7 millones de personas. El ataque comenzó a través de los terminales de pago de alimentos y bebidas en hospitales, lo que permitió a los atacantes acceder posteriormente a sistemas con información protegida de pacientes, demostrando cómo un punto de entrada aparentemente menor puede convertirse en una vía para comprometer datos críticos.
En 2020, Banner Health acordó un pago de 8,9 millones de dólares para resolver una demanda colectiva relacionada con la brecha de datos. Además, en 2024, la organización fue sancionada con una multa de 1,25 millones de dólares por el Departamento de Salud y Servicios Humanos (HHS) debido a un incumplimiento generalizado de la HIPAA, incluyendo falta de análisis de riesgos, monitoreo insuficiente y deficiencias en las medidas de seguridad para proteger la información electrónica de salud. La multa también incluyó la obligación de implementar un plan correctivo supervisado durante dos años por las autoridades federales.
Trinity Health
Trinity Health es uno de los sistemas de salud más grandes y diversificados de Estados Unidos. Opera en 25 estados y presta servicios a más de 30 millones de personas al año, gestionando decenas de hospitales y centros de atención urgente, junto con uno de los programas PACE (cuidado integral para personas mayores) más grandes del país.
El 16 de julio de 2020, Blackbaud, un proveedor externo de Trinity Health, responsable de almacenar una copia de seguridad de su base de datos de donantes, fue víctima de un ataque de ransomware. Trinity Health, con el apoyo de expertos forenses y las fuerzas del orden, logró bloquear el ciberataque, pero no antes de que los hackers filtraran miles de datos que incluían información vinculada a Trinity Health.
En 2021, Trinity Health sufrió otra filtración de datos que afectó a 586.869 pacientes. Este incidente formó parte de una filtración de datos a gran escala derivada de un ciberataque contra la plataforma externa de transferencia de archivos, Accellion. En diciembre de 2025, Trinity Health resolvió una demanda colectiva relacionada con esta brecha, negando las alegaciones pero optando por un acuerdo para evitar costos adicionales.
Otras compañías del sector se han visto afectadas, por ejemplo, como Broward Health, ARcare, L’Assurance Maladie, Morley Companies, OneTouchPoint, entre otras.
Más casos
Otras compañías del sector se han visto gravemente afectadas por brechas de seguridad, por ejemplo, Broward Health (brecha en 2022 vía proveedor externo, afectando a 1,3 millones de pacientes), ARcare (345.000 afectados por acceso no autorizado en 2023), Morley Companies (ransomware en 2023 que comprometió datos confidenciales de pacientes) y OneTouchPoint (más de 2,6 millones en 2023 por brecha en sistemas de procesamiento).
En mayo de 2025, se reportaron 60 brechas que afectaron a más de 500 individuos cada una, según el informe mensual de HIPAA Journal.
Entre las brechas más grandes de 2025 destacan Yale New Haven Health con 5,5 millones de afectados por phishing y Episource con 5,4 millones por vulnerabilidad vía software de terceros, contribuyendo a un total de casi 57 millones de registros comprometidos en el año. Enlazado aquí, les dejo el informe sobre la violación de datos sanitarios de HIPA Journal de 2025.3
Conclusión
Más allá del caos inmediato que implica un ciberataque, el daño reputacional y las repercusiones económicas para las organizaciones sanitarias pueden ser graves. Estos costes incluyen la recuperación de sistemas, pérdida de ingresos por fuga de pacientes, perdidas por interrupción de servicios, multas regulatorias y aumento de primas de ciberseguro.
No se pierda nuestro podcast sobre el artículo
