Los incidentes de ciberseguridad que afectaron en 2025 al Instituto de Salud Pública (ISP) y a Clínica Dávila instalaron el tema de la protección digital en el centro del debate sanitario en Chile. Más que configurar un escenario de alarma permanente, estos episodios pusieron en evidencia un proceso que atraviesa a los sistemas de salud a nivel global: una digitalización acelerada que amplía las capacidades clínicas y operativas, pero que también incrementa la superficie de riesgo y exige nuevas formas de gestión.
El ataque de ransomware que paralizó al ISP durante varios días, afectando diagnósticos críticos y procesos regulatorios, y el posterior caso de ciberextorsión con filtración de datos sensibles en una clínica privada, revelaron que la continuidad de la atención y la protección de la información son hoy dimensiones inseparables de la calidad sanitaria.
Para Hernán Astudillo, investigador del Instituto de Tecnología para la innovación en Salud y Bienestar (ITiSB) y profesor titular de la Facultad de Ingeniería de la Universidad Andrés Bello, estos eventos deben leerse como señales de ajuste más que como anomalías. “Los sistemas de salud están entrando en una etapa donde la seguridad digital pasa a ser parte del funcionamiento normal, no una capa adicional”.
A nivel internacional, el sector salud se ha consolidado como uno de los principales objetivos del cibercrimen organizado. Solo en los primeros nueve meses de 2025 se registraron casi 300 ataques de ransomware dirigidos específicamente a hospitales y clínicas en el mundo, con millones de registros comprometidos y rescates promedio que superan el medio millón de dólares por incidente confirmado.
Si se amplía el foco a laboratorios, aseguradoras y proveedores tecnológicos vinculados a la salud, la cifra supera los 400 ataques globales en el mismo período, de acuerdo a datos internacionales.
Para Astudillo, estas cifras ayudan a contextualizar lo ocurrido en Chile. “No es que el sistema chileno sea una excepción, sino que está enfrentando las mismas presiones que otros países, con la diferencia de que la madurez digital no siempre avanza al mismo ritmo que la incorporación de nuevas tecnologías”, explica. En su análisis, los datos clínicos se han transformado en un activo de alto valor no por su monetización directa, sino por su potencial de daño reputacional, personal y legal.
El desplazamiento desde el ransomware tradicional hacia esquemas de chantaje basados en información médica responde a esa lógica. “La información de salud tiene una carga personal muy fuerte. Saber que un diagnóstico, un examen o un tratamiento podría hacerse público genera un nivel de presión distinto”, señala el investigador. Esto explica por qué hospitales y clínicas, cuya prioridad es mantener la atención operativa y la confidencialidad de los pacientes, enfrentan dilemas complejos al momento de responder a un ataque.
En este contexto, los casos del ISP y de Clínica Dávila muestran dos caras de un mismo fenómeno. En uno, el impacto se expresó principalmente en la interrupción de procesos críticos; en el otro, en la exposición de datos personales. Ambos, según Astudillo, reflejan una misma debilidad estructural: sistemas altamente interconectados que aún están ajustando sus mecanismos de protección y respuesta.
Ciberhigiene: el punto de mejora
La creciente exposición del sector salud a amenazas digitales se inscribe en un fenómeno más amplio que atraviesa a las organizaciones a nivel global. De acuerdo con la 29ª Encuesta Global de CEO de PwC, los riesgos cibernéticos se han consolidado como la principal preocupación de los líderes empresariales para los próximos meses, superando incluso a la inflación y a la volatilidad económica.
En Chile, esta percepción es especialmente marcada: un número significativo de ejecutivos reconoce estar altamente expuesto a ciberataques, en un contexto donde la digitalización avanza más rápido que la adopción de capacidades maduras de protección, monitoreo y respuesta ante incidentes. El estudio advierte además que la ciberseguridad dejó de ser un problema exclusivamente tecnológico para transformarse en un riesgo estratégico, con impactos directos en la continuidad operacional, la reputación y la confianza de usuarios y clientes.
Esta lectura resulta particularmente relevante para los sistemas sanitarios, donde la interrupción de servicios o la filtración de datos sensibles puede traducirse en consecuencias clínicas, legales y sociales de alto impacto, plantea el investigador del ITiSB. En este escenario, PwC subraya la necesidad de pasar desde enfoques reactivos hacia modelos preventivos y de resiliencia digital, una transición que hoy aparece como uno de los principales desafíos y oportunidades para instituciones de salud públicas y privadas.
Más allá de la sofisticación de los grupos criminales, Astudillo insiste en que muchas vulnerabilidades siguen teniendo un origen cotidiano. La llamada “ciberhigiene” —un concepto que agrupa hábitos básicos de uso seguro de la tecnología— aparece como uno de los principales desafíos del sector salud, tanto en Chile como a nivel internacional.
“En muchos casos no estamos hablando de fallas avanzadas de encriptación o de tecnología de punta, sino de prácticas simples que no están bien resueltas: contraseñas compartidas, accesos remotos poco controlados o políticas que no consideran cómo trabajan realmente las personas”, explica. A su juicio, parte del problema es que algunas medidas históricamente consideradas buenas prácticas pueden volverse contraproducentes si no se adaptan al contexto operativo de hospitales y clínicas.
El investigador enfatiza que este diagnóstico no busca responsabilizar individualmente a los funcionarios, sino reconocer una realidad organizacional. “El sistema de salud funciona bajo presión permanente. Si las soluciones de seguridad no son usables, las personas van a buscar atajos. Eso no es una falla moral, es una señal de que los procesos deben rediseñarse”, sostiene.
Desde esta perspectiva, la capacitación continua, el diseño centrado en el usuario y la integración de la ciberseguridad en la cultura organizacional aparecen como oportunidades concretas de mejora. “El factor humano suele verse solo como una debilidad, pero también es una fortaleza. Cuando las personas entienden el riesgo y tienen herramientas adecuadas, el nivel de protección mejora de forma significativa”, afirma Astudillo.
“Todo sistema es hackeable”
Uno de los ejes centrales del planteamiento del académico es asumir que la seguridad absoluta no existe. “Todo sistema es hackeable. La diferencia está en cuánto daño produce el incidente y qué tan rápido se puede recuperar la operación”, señala. En ese sentido, propone entender la ciberseguridad como un proceso continuo de gestión de riesgos, similar a la gestión de desastres en otros ámbitos críticos.
Este enfoque se alinea con tendencias internacionales observadas en 2025. Aunque la frecuencia de ataques sigue siendo alta, la proporción de organizaciones de salud que optan por pagar rescates ha disminuido de manera sostenida en los últimos años. Hoy, alrededor de un tercio de las instituciones afectadas accede a las demandas, frente a más del 60% registrado a comienzos de la década. Para Astudillo, este cambio refleja una mayor preparación: mejores respaldos, planes de continuidad y una presión regulatoria creciente para no financiar a los grupos criminales.
La regulación, en este escenario, cumple un rol clave. Las obligaciones de reporte de incidentes y las normas de protección de datos no buscan castigar a las instituciones afectadas, explica, sino generar aprendizaje colectivo. “Cuando un incidente se reporta, el sistema completo gana información. Eso permite ajustar prácticas, alertar a otros y elevar el estándar general”, sostiene.
Astudillo subraya que los casos que llegan a la opinión pública son solo una parte de los incidentes que ocurren. Sin embargo, lejos de interpretarlo como un signo de deterioro, lo ve como parte de un proceso de maduración. “Chile está avanzando en conciencia, en marcos regulatorios y en capacidades técnicas. La digitalización va a seguir creciendo, y con ella los riesgos, pero también las herramientas para gestionarlos mejor”, concluye.
Desde su mirada, el desafío de la ciberseguridad en salud no es detener la transformación digital, sino acompañarla con políticas, prácticas y culturas organizacionales que permitan que los beneficios de la tecnología se desplieguen sin comprometer la confianza ni la continuidad del cuidado. En ese equilibrio, afirma, se juega una parte relevante del futuro de los sistemas sanitarios (Por Luis Francisco Sandoval, Agencia S&M Comunicaciones).
