Bruselas propone un centro europeo de ciberseguridad para proteger a los hospitales ante posibles ataques

La Comisión Europea ha propuesto este miércoles la creación de un centro europeo de ciberseguridad destinado a proteger los hospitales y centros de salud europeos frente a posibles ataques. En 2024, los países europeos notificaron 209 incidentes significativos en instalaciones sanitarias durante el año anterior, un tema de especial preocupación teniendo en cuenta la sensibilidad de los datos.

“La digitalización está trayendo una revolución a la asistencia sanitaria, permitiendo mejores servicios a los pacientes a través de innovaciones como los historiales médicos electrónicos, la telemedicina y los diagnósticos impulsados por la Inteligencia Artificia. Sin embargo, los ciberataques pueden retrasar los procedimientos médicos, crear bloqueos en las salas de emergencia e interrumpir los servicios vitales que, en casos graves, podrían tener un impacto directo en la vida de los europeos”, explica la Comisión Europea en su comunicado.

“La ciberseguridad debe estar integrada en la digitalización del sector sanitario. No es un gasto, sino una inversión en seguridad y resiliencia para nuestros ciudadanos, y está vinculada a nuestra competitividad”, ha asegurado en rueda de prensa Henna Virkkunnen, vicepresidenta ejecutiva para Soberanía Tecnológica, Seguridad y Democracia.

Este plan no quiere crear nuevas estructuras sino que prevé que ENISA, la agencia de la UE para la ciberseguridad, se encargue de poner en marcha este centro europeo que se dedicará a proporcionar nuevas herramientas, servicios y formación.

Dentro del capítulo de la prevención, este plan dará orientaciones sobre la aplicación de las prácticas para mejorar la ciberseguridad. También permitirá que los países europeos puedan asistir de manera financiera a los pequeños y medianos hospitales y centros sanitarios a través de bonos. Además, también desarrollará formación sobre ciberseguridad para los profesionales sanitarios. No solo se trata de prevenir sino también de dar una respuesta más rápida. Por eso, el principal propósito reside en establecer un servicio de alerta temprana a escala europea que pueda ofrecer avisos casi en tiempo real de aquí a 2026.

Además, esta propuesta pretende que los ejercicios nacionales sobre ciberseguridad vayan en paralelo con posibles respuestas, con el propósito de guiar a los centros de salud en su respuesta ante amenazas específicas como el denominado, ransomware ( el secuestro de datos que consiste en infectar el sistema operativo para restringir el acceso a determinadas partes y pedir un rescate a cambio de la recuperación de estos archivos) . En este sentido, Bruselas anima a los países europeos a notificar la notificación de pagos de recate para poder solicitar ayuda a las autoridades y permitir el seguimiento de los cuerpos policiales.

Para que la atención al paciente no se vea interrumpida por este tipo de acciones malignas, el plan presentado este miércoles también contempla el desarrollo de un sistema de suscripción para recuperar los datos secuestrados, sin tener que ceder ante el chantaje, y ampliar las herramientas disponibles para descifrar este tipo de virus.

Según los datos de la Comisión Europea, el 54% de los incidentes en el ámbito de la ciberseguridad en el sector sanitario consistieron en este secuestro de datos en el periodo entre 2021 y 2023. Uno de los casos más preocupantes tuvo lugar en el año 2024 cuando se produjo un ataque al Hipocrate Information System de Rumanía mediante el secuestro de datos. Esto hizo que se perdiera el acceso a los archivos y bases de datos de los servidores. Los atacantes solicitaron 3,5 bitcoins, unos 175.400 euros, a cambio de permitir el acceso a estos datos. Si bien en un principio esto afectó a 20 centros sanitarios, la autoridad cibernética del país optó por desconectar a 80 hospitales de todos los servicios online. En total, 100 centros se vieron afectados y los médicos comenzaron a volver a utilizar lápiz y papel para atender a los pacientes y poder prescribir las recetas.

Además, la Comisión Europea también asegura que en 2024 el 81% de las compañías tuvieron problemas para contratar a personal especializado en ciberseguridad y el 66% de los puestos en este sector fueron encargados a empleados que en un principio estaban ocupados en otras tareas.

Este plan conllevará un aumento del presupuesto para ENISA, pero todavía se desconoce la cuantía. Tampoco hay cifras sobre los bonos de los que podrán disponer los pequeños centros sanitarios para poder desarrollar herramientas para prevenir estos ataques.