El robo inicial de 250 GB de datos clínicos a la Clínica Dávila por parte del grupo hacker ruso Devman en diciembre de 2025 —que incluyó historiales clínicos, exámenes de VIH y documentos de identidad—, sumó un nuevo capítulo. A fines de febrero, otro hacker, el grupo Lockbit 5.0, publicó 180 GB de la información robada a la institución en su página en la dark web. LockBit no se adjudicó el ciberataque, por lo que no existe certeza respecto al origen de la filtración, pero todo indica que Devman vendió los datos -o una copia de ellas-, por algún porcentaje de la ganancia. Mientras la clínica notifica a las víctimas y la Interpol rastrea al líder de Devman, lo que da cuenta esta situación es la certeza de que interoperar sin seguridad por diseño equivale a entregar la dignidad de los pacientes al mejor postor digital, en un mercado negro donde los datos se revenden sin control.
Los casos de hackeo ocurridos en la Clínica Dávila, el Instituto de Salud Pública (ISP) y FONASA son la radiografía de un sistema de salud que se digitalizó más rápido de lo que profesionalizó su ciberseguridad. El ciberataque al ISP en 2025 paralizó sistemas clave, afectando la interoperabilidad con Aduanas y retrasando exámenes críticos como VIH y hepatitis. Por su parte, el ransomware contra FONASA en 2023 comprometió servidores y filtró decenas de gigabytes, probablemente a través de la VPN de un proveedor. La debilidad no está en un sistema puntual, se genera porque se opera sin una capa homogénea de seguridad y gobernanza.
La promesa de la interoperabilidad es la eficiencia y la continuidad de la atención, pero si se construye sin una gobernanza de seguridad robusta, se convierte en una fuente de nuevos costos, los que se hacen visibles en exámenes repetidos porque la información no es confiable; en horas médicas dedicadas a confirmar datos; listas de espera más largas y reprogramaciones de cirugías y atenciones a raíz de que los sistemas caen; y un aumento de las primas de seguros por riesgo operacional. El resultado es que conectar sistemas sin seguridad termina por encarecer la operación y debilitar la calidad asistencial.
La interoperabilidad dejó de ser una opción cultural para convertirse en una contradicción legal. La Ley N°21.668 que establece la interoperabilidad de las fichas clínicas y la Ley N°21.180 de Transformación Digital del Estado, exigen compartir datos, pero resguardando estrictamente su confidencialidad e integridad. En este contexto, la nueva Ley Marco de Ciberseguridad introduce la figura de las Organizaciones de Importancia Vital (OIV), donde los actores críticos de salud deben demostrar capacidades reforzadas en gestión de riesgos y respuesta a incidentes. Para estas OIV, la norma ISO 27001:2022 se consolida como el piso sanitario mínimo y la forma concreta de acreditar que su modelo de gobernanza protege los datos y mantiene la interoperabilidad de manera segura.
Con los ataques a la Clínica Dávila, el ISP y FONASA, la discusión ya no es si el sector será atacado. La pregunta para cada directorio es qué tan preparada está su organización y cuánto riesgo proviene de integrar e interoperar sin seguridad por diseño. Esto implica tratar la ciberseguridad como un tema de directorio, incorporado a la matriz de riesgo, y exigir, como condición de conexión a los ecosistemas clínicos y a la red del Estado, que los actores avancen hacia la certificación ISO 27001:2022. Interoperar sin seguridad es, simplemente, un costo diferido que tarde o temprano se cobra en la salud y privacidad de las personas y la reputación del sistema.
Dr. José Fernández Figueroa
CEO Rayen Salud
