Ciberseguridad

Ciberseguridad en el sector salud en Chile

Por Equipo GRC360 20 de March, 2026 13 min de lectura
Protección de ciberseguridad en una institución de salud chilena

El sector salud se ha convertido en uno de los blancos preferidos de los ciberdelincuentes a nivel mundial. Los datos clínicos son extremadamente valiosos en el mercado negro, y las instituciones de salud frecuentemente operan con sistemas legacy, presupuestos limitados de TI y una cultura de seguridad insuficiente. En Chile, la combinación de la digitalización acelerada de la salud y las nuevas exigencias de la Ley 21.663 hace que la ciberseguridad en salud sea una prioridad urgente.

¿Por qué atacan al sector salud?

Las razones son múltiples y preocupantes:

  • Datos valiosos: Los registros clínicos contienen información personal completa (RUT, dirección, datos financieros, historial médico) que puede usarse para fraude, extorsión o venta.
  • Urgencia operacional: Los hospitales no pueden detenerse. Un ransomware que paraliza sistemas clínicos pone en riesgo vidas, lo que aumenta la presión para pagar.
  • Superficie de ataque amplia: Dispositivos médicos conectados (IoMT), sistemas legacy, múltiples proveedores y personal con acceso remoto multiplican los vectores de ataque.
  • Inversión insuficiente: Históricamente, el presupuesto de ciberseguridad en salud ha sido menor que en otros sectores como banca o minería.

Amenazas principales

AmenazaImpacto en saludEjemplo
RansomwareParalización de sistemas clínicos, imposibilidad de acceder a fichasAtaques a hospitales que obligan a derivar pacientes
Robo de datos clínicosExposición de información sensible de pacientesFiltración de bases de datos de pacientes
Phishing dirigidoAcceso a sistemas mediante credenciales robadas al personalCorreo falso de la Superintendencia de Salud
Ataques a dispositivos médicosManipulación de equipos de diagnóstico o tratamientoCompromiso de bombas de infusión o marcapasos conectados
Ataques a proveedoresAcceso a la red hospitalaria a través de un proveedor comprometidoSoftware de gestión hospitalaria comprometido en la cadena de suministro

Marco regulatorio

Las instituciones de salud en Chile deben cumplir con múltiples regulaciones de seguridad:

  • Ley 21.663: Los hospitales y clínicas pueden ser clasificados como operadores de servicios esenciales, con obligaciones de reporte de incidentes y gestión de riesgos.
  • Ley 21.719: Los datos de salud son datos personales sensibles con protección reforzada.
  • Ley 20.584: Derechos y deberes de los pacientes respecto a la confidencialidad de su información.
Dato alarmante: Los ataques de ransomware a hospitales han demostrado que pueden causar la muerte de pacientes al retrasar tratamientos críticos. La ciberseguridad en salud no es solo un tema de TI: es un tema de seguridad del paciente.

Controles prioritarios

Protección de datos clínicos

  • Cifrado de datos en reposo y en tránsito
  • Control de acceso basado en roles con privilegios mínimos
  • Registro de auditoría de accesos a fichas clínicas
  • Segmentación de red para aislar sistemas clínicos

Gestión de dispositivos médicos

  • Inventario completo de dispositivos conectados (IoMT)
  • Segmentación de red para dispositivos médicos
  • Proceso de actualización de firmware y parches
  • Monitoreo de tráfico anómalo desde dispositivos

Preparación ante ransomware

  • Respaldos offline verificados periódicamente
  • Plan de continuidad operacional sin sistemas digitales
  • Segmentación de red para limitar la propagación
  • Detección temprana con EDR en endpoints

Concientización del personal

  • Capacitación periódica en phishing y buenas prácticas. Ver guía de phishing.
  • Simulaciones de ataques adaptadas al contexto hospitalario
  • Protocolo claro de reporte de incidentes

Plan de respuesta para salud

El plan de respuesta ante incidentes en salud debe considerar aspectos específicos:

  • Procedimientos para mantener la atención de pacientes durante un incidente
  • Protocolo de derivación de pacientes si los sistemas están comprometidos
  • Comunicación a pacientes cuyos datos fueron expuestos
  • Coordinación con la Superintendencia de Salud y CSIRT Nacional

Protege tu institución de salud con GRC360

GRC360 te permite gestionar la ciberseguridad de tu institución con evaluación de riesgos, controles de seguridad y gestión de incidentes adaptados al sector salud.

Crear Cuenta Gratis

Complementa con protección de datos en salud, IA en el sector salud, ISO 9001 en salud y la guía de ISO 27001.

Enfoque integral: La ciberseguridad en salud debe abordarse de forma integral, combinando controles técnicos con capacitación del personal, gobernanza institucional y planes de continuidad. Un enfoque exclusivamente tecnológico es insuficiente.
Incidentes Chile Salud
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis