El pasado 31 de marzo, el centro Digitaliza Madrid acogió el encuentro de expertos «Ciberseguridad en Salud – Protegiendo los Datos del Paciente», organizado por New Medical Economics y la Comunidad de Madrid y patrocinado por Amgen, Bidafarma, Chiesi, Oximesa Nippon Gases y Pfizer. La jornada reunió a más de una docena de ponentes de alto nivel del ámbito institucional, asistencial, jurídico y tecnológico con un objetivo común: reflexionar sobre los principales desafíos en materia de ciberseguridad sanitaria y explorar vías de cooperación, prevención y mejora en la protección de los datos clínicos.
La sesión de bienvenida institucional corrió a cargo de Miguel López-Valverde Argüeso, consejero de Digitalización de la Comunidad de Madrid, quien destacó la sensibilidad y complejidad del sector sanitario en materia de ciberseguridad, dada la criticidad de los datos manejados, la conectividad creciente de los dispositivos médicos y el impacto directo que cualquier incidente puede tener sobre la asistencia sanitaria. «Tenemos la responsabilidad de anticiparnos a las amenazas y dotar al sistema sanitario madrileño de herramientas que garanticen la integridad de los datos clínicos y la continuidad asistencial», afirmó. En su intervención, anunció la creación de un laboratorio regional de ciberseguridad sanitaria, con una inversión de 11,5 millones de euros, que cuenta con financiación de fondos Next Generation EU, que permitirá reproducir entornos hospitalarios reales y poner a prueba soluciones tecnológicas en condiciones controladas y colaborativas.
José María Martínez García, presidente ejecutivo de New Medical Economics, tomó la palabra a continuación para agradecer la implicación de la Consejería de Digitalización, de los patrocinadores y de todos los profesionales participantes. Subrayó la importancia de abordar la ciberseguridad como una prioridad estratégica para el sistema de salud, señalando que proteger el dato clínico es proteger al paciente, y que solo a través del conocimiento compartido y la colaboración entre instituciones y expertos podrá construirse una sanidad más segura. «La digitalización sin seguridad es una amenaza. Con seguridad, es una oportunidad», remarcó.
La mirada desde INCIBE: prevención y normativa para fortalecer el sistema
La conferencia inaugural del evento estuvo a cargo de Juan Díez González, responsable de ciberseguridad en INCIBE-CERT para los sectores estratégicos sanitario, alimentario y de investigación. Con una intervención detallada y didáctica, Díez situó al sector salud en el contexto actual de amenazas digitales, haciendo hincapié en la necesidad urgente de elevar los niveles de madurez y resiliencia en un entorno crecientemente complejo y conectado. “La criticidad del sector salud es evidente: manejamos datos sensibles, dispositivos conectados y procesos asistenciales críticos. La ciberseguridad debe formar parte de la cultura organizativa desde la base hasta la dirección”, afirmó.
Durante su intervención, Díez desgranó el papel del Instituto Nacional de Ciberseguridad (INCIBE), destacando su labor como CERT nacional y su servicio de atención telefónica 017, que atiende anualmente miles de consultas, más de la mitad de ellas preventivas. Este dato le permitió lanzar un mensaje claro: “Estamos avanzando en la dirección correcta cuando más del 56% de las llamadas se producen antes de que ocurra un incidente. La prevención empieza a calar”.
Asimismo, el representante de INCIBE explicó los fundamentos y el impacto esperado de la Directiva NIS2, que España está próxima a transponer. Esta nueva normativa obligará a medianas y grandes entidades sanitarias a adoptar medidas mínimas de ciberseguridad, realizar auditorías, formar a sus directivos y notificar incidentes relevantes. “Será un antes y un después en la gestión de la seguridad digital. La norma establece sanciones e incluso inhabilitaciones para la dirección en caso de negligencia”, alertó.
Con un enfoque práctico, Díez compartió un decálogo de recomendaciones adaptado específicamente al entorno sanitario, con medidas como la segmentación de redes, el cifrado de datos, la elaboración de planes de continuidad de negocio, la gestión proactiva de la cadena de suministro o la formación continua de los empleados. “No se trata solo de comprar tecnología, sino de adoptar una estrategia clara y transversal. La seguridad no puede depender de impulsos, debe integrarse en la gestión del día a día”, concluyó. Su intervención marcó un punto de partida sólido para los debates que se sucederían a lo largo de la jornada, y dejó patente que la ciberseguridad, lejos de ser un concepto técnico aislado, es hoy un imperativo estratégico para todo el sistema sanitario.
Amenazas actuales y retos en un entorno hiperconectado
La primera mesa redonda de la jornada estuvo moderada por Miguel Ángel Benito Tovar, subdirector de Transformación, Innovación y Salud Digital del Servicio de Salud de las Islas Baleares y coordinador general del Foro de Seguridad y Protección de Datos de Salud de la Sociedad Española de Informática de la Salud (SEIS). Participaron en esta mesa Juan Luis Cruz Bermúdez, director de Transformación Digital del Hospital Universitario 12 de Octubre; Alejandro Las Heras Vázquez, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid; Ricardo Iglesias Rodríguez, responsable del Comité Delegado de Protección de Datos de la Consejería de Sanidad de la Comunidad de Madrid; y Natalia Iglesias de Amunategui, Chief Technology Officer (CTO) de Savana.
Este panel abordó los desafíos más acuciantes a los que se enfrentan las organizaciones sanitarias en un contexto de hiperconectividad, donde la digitalización, lejos de ser un elemento opcional, se ha convertido en un eje transversal de la asistencia sanitaria. Juan Luis Cruz Bermúdez puso el foco en la transformación digital que están experimentando los hospitales, especialmente los de gran tamaño como el 12 de Octubre. “En el nuevo edificio hemos conectado más de 7.000 dispositivos. Cada uno de ellos es un posible punto de entrada para amenazas externas si no se gestiona correctamente su seguridad”, explicó. Además, advirtió que la seguridad no puede depender exclusivamente de departamentos de sistemas, sino que debe entenderse como una responsabilidad compartida por toda la estructura organizativa.
Desde una perspectiva institucional, Alejandro Las Heras Vázquez detalló la estrategia que está siguiendo la Comunidad de Madrid a través de su Agencia de Ciberseguridad, destacando el impulso del plan “Escudo Digital”. Este plan contempla, entre otras medidas, la creación de un Security Operations Center (SOC) específico para el ámbito sanitario, así como la coordinación de políticas públicas, formación específica para personal sanitario y una inversión de más de 117 millones de euros para reforzar la ciberseguridad del ecosistema digital madrileño. “Nuestro objetivo es generar una arquitectura sólida que permita anticiparnos a los ciberataques y dar una respuesta rápida, eficiente y coordinada cuando estos se produzcan”, afirmó.
Ricardo Iglesias Rodríguez aportó una visión jurídica y operativa desde el marco de la protección de datos personales, recordando que el Reglamento General de Protección de Datos (RGPD) no debe percibirse como un obstáculo, sino como una herramienta para consolidar la confianza institucional. “La normativa puede ser un aliado si se entiende desde una óptica preventiva y estratégica. Aplicar el RGPD correctamente también es una forma de mejorar la calidad asistencial y proteger al paciente”, señaló.
Por su parte, Natalia Iglesias de Amunategui introdujo la perspectiva tecnológica e hizo especial hincapié en el diseño de arquitecturas de datos seguras desde su origen, incluso en los sistemas de uso primario. “Un prerrequisito para trabajar con dato clínico es el uso de técnicas de anonimización o seudonimización de datos personales, que permite, junto con otras medidas de seguridad, desarrollar soluciones de inteligencia artificial para investigación que redundan en una mejora de la atención médica. Las organizaciones debemos, además, aplicar medidas estrictas de segmentación de redes para proteger activos críticos y copias de seguridad de ataques externos, tener controles de acceso robustos, o incluir privacidad por diseño en nuestras soluciones”, explicó. También subrayó que la ciberseguridad no puede concebirse como un complemento tardío, sino como una condición previa a cualquier solución tecnológica sanitaria.
La mesa coincidió en la importancia de consolidar una cultura organizativa en la que la ciberseguridad no dependa únicamente de equipos técnicos, sino que esté integrada en todas las áreas, desde la dirección hasta la atención clínica. Los ponentes destacaron la necesidad de realizar evaluaciones periódicas de riesgos, formar a los profesionales, mejorar la interoperabilidad con criterios de seguridad y apostar por infraestructuras resilientes que sean capaces de sostener la transformación digital sin comprometer la confianza del paciente.
Estrategias, soluciones y cultura de seguridad en la transformación digital del sistema sanitario
La segunda mesa redonda del encuentro estuvo moderada por Lorena Pérez Campillo, doctora en Derecho, profesora de la Universidad Europea de Madrid, experta en derecho sanitario y mentora del programa Esade MIT. Participaron en este panel Miguel Cuchí Alfaro, director médico y de Innovación del Hospital Universitario Puerta de Hierro de Majadahonda y responsable del proyecto Rosetta 360 System AI; Nuria Ruiz Hombrebueno, directora general de Salud Digital de la Consejería de Digitalización de la Comunidad de Madrid; y Javier Carnicero Giménez de Azcárate, consultor independiente en sistemas y servicios de salud y experto en organización sanitaria.
La mesa se centró en los elementos clave para el diseño e implementación de soluciones de ciberseguridad adaptadas al entorno sanitario, poniendo especial énfasis en la gobernanza de los datos, el desarrollo de infraestructuras digitales seguras, la interoperabilidad de los sistemas y la necesidad de incorporar la ciberseguridad como una prioridad transversal en toda la organización sanitaria.
Miguel Cuchí Alfaro inició el debate destacando que “la tecnología, por sí sola, no basta. Hace falta liderazgo, visión estratégica y una cultura interna sólida que asuma la ciberseguridad como una cuestión colectiva, no exclusiva del área técnica”. Explicó cómo el Hospital Universitario Puerta de Hierro está desarrollando el proyecto Rosetta 360 System AI, una plataforma basada en inteligencia artificial que busca anticiparse a las necesidades asistenciales a través de la analítica avanzada de datos clínicos. “Si no protegemos esos datos desde el origen, no podemos hablar de innovación real. La confianza es la base de todo avance digital en salud”, señaló.
Por su parte, Nuria Ruiz Hombrebueno expuso las líneas de trabajo de la Oficina de Gobierno del Dato del Servicio Madrileño de Salud (SERMAS), que coordina desde la Consejería de Digitalización. Subrayó la necesidad de establecer marcos sólidos de gobernanza del dato, con indicadores de calidad, sistemas auditables y políticas claras de acceso. “Nuestro objetivo es garantizar que los datos clínicos sean no solo seguros, sino útiles, veraces y disponibles en el momento necesario”, afirmó. También abordó el reto que supone alinear los desarrollos tecnológicos con las necesidades reales de los profesionales sanitarios, evitando herramientas invasivas o poco operativas. “La seguridad no debe ser una traba, sino un facilitador del trabajo asistencial”, indicó.
Javier Carnicero aportó una visión centrada en la organización y planificación estratégica de los sistemas de salud. “La ciberseguridad no puede desvincularse de la experiencia del paciente. Si los datos no fluyen de forma segura entre niveles asistenciales, si no hay interoperabilidad real, estamos comprometiendo la continuidad de la atención”, advirtió. En su intervención, defendió la interoperabilidad público-privada como un derecho del ciudadano, y llamó a construir infraestructuras digitales centradas en las personas y orientadas a resultados en salud. “Los sistemas deben estar al servicio del paciente, no al revés”, concluyó. En conjunto, esta mesa reforzó la idea de que la ciberseguridad en el ámbito sanitario requiere una estrategia integral que combine inversión, gobernanza, liderazgo, tecnología, regulación y cultura organizacional. Los ponentes coincidieron en que no hay transformación digital posible sin seguridad, y que el éxito de cualquier proyecto innovador dependerá de su capacidad para generar confianza, proteger la privacidad y ofrecer soluciones eficaces tanto para el profesional como para el paciente.
El presidente ejecutivo de New Medical Economics, José María Martínez García, fue el encargado de cerrar el encuentro con una intervención que resumió los principales mensajes de la jornada y puso en valor la necesidad de avanzar con paso firme hacia un ecosistema sanitario más seguro, resiliente y digitalmente maduro.
Martínez destacó el papel facilitador de la Consejería de Digitalización de la Comunidad de Madrid, agradeciendo su implicación en la organización del evento y abriendo la puerta a futuras colaboraciones. También subrayó la calidad de los ponentes y la profundidad de los debates, que permitieron abordar la ciberseguridad desde múltiples enfoques.
Entre las ideas clave compartidas, el presidente de NME se enfocó en:
La necesidad de tratar la ciberseguridad como un elemento estratégico del negocio sanitario, que debe estar presente en la planificación y presupuestos de las organizaciones; la importancia de formar y concienciar a todos los niveles, especialmente al personal asistencial, muchas veces sobrecargado y poco familiarizado con los riesgos digitales; la urgencia de abordar las vulnerabilidades más críticas, como la obsolescencia tecnológica, el uso de dispositivos conectados sin medidas adecuadas, y la falta de cultura de seguridad; el valor de la prevención como herramienta esencial: “Más del 56% de las consultas a INCIBE se realizan antes de que ocurra un problema. Esa es la dirección en la que debemos avanzar”, señaló; y la colaboración público-privada como pilar fundamental para proteger los datos de los pacientes y garantizar la continuidad asistencial ante posibles incidentes.
Asimismo, recogió las aportaciones más destacadas de cada ponente, desde la defensa de la interoperabilidad como derecho del paciente, hasta el llamamiento a “invertir bien” los recursos públicos, pasando por la utilidad práctica de las normativas actuales si se aplican con enfoque proactivo.
Finalmente, Martínez lanzó un mensaje de prudencia sobre la integración de la inteligencia artificial en el ámbito sanitario. Aunque reconoció su enorme potencial, advirtió sobre el riesgo de implantarla sin control: “La inteligencia artificial no debe llevarnos a un alunizaje sin rumbo. Debemos pilotarla con sensatez, garantizando la seguridad, la transparencia y el beneficio real para los pacientes”.
El evento concluyó con el compromiso compartido de seguir trabajando por una sanidad más segura y conectada, donde la tecnología sea aliada del cuidado y la protección del dato clínico sea una prioridad ineludible. La calidad asistencial, la confianza institucional y la sostenibilidad del sistema dependen, hoy más que nunca, de nuestra capacidad para proteger lo más valioso: el dato del paciente.
