Solo el 15% de los establecimientos de salud han experimentado un incidente cibernético disruptivo en los últimos tres años, pero menos de 1 de cada 6 se sentía realmente bien preparado en el momento del incidente, según la primera encuesta nacional, realizada en colaboración por la Agencia del Numérico en Salud (ANS) y las federaciones hospitalarias, a 719 directores de establecimientos de salud.
La Agencia del Numérico en Salud analiza, a través de una encuesta, la gestión de la ciberseguridad en los establecimientos de salud a medio plazo. Solo el 15% de los establecimientos han sufrido un incidente cibernético disruptivo en los últimos tres años, pero pocos se sentían bien preparados.“Incluso sin haber sufrido un incidente, la mayoría de los directores son conscientes de su nivel de preparación, solo el 13% se declara bien preparado”, señala la agencia en sus conclusiones. En general, la encuesta destaca “una verdadera discrepancia” entre las ambiciones y los recursos asignados en este ámbito. “Si bien la ciberseguridad está en la agenda de las direcciones generales (ejercicios de crisis, reuniones de seguridad de los sistemas de información, implicación directa), el 42% de los directores consideran que no tienen los recursos necesarios para un plan de prevención adecuado. Esta constatación se acentúa en los establecimientos públicos y sin ánimo de lucro”.
La encuesta también señala una asignación presupuestaria desfavorable a la ciberseguridad: “El 60% de los establecimientos destinan menos del 5% de su CAPEX informático a la ciberseguridad, y más de uno de cada cuatro menos del 1%”. En este contexto, las acciones consideradas más accesibles son la sensibilización del personal, los ejercicios de crisis y la actualización de la documentación.
Reflejos bien identificados ante la crisis
En una nota positiva, los establecimientos demuestran ser reactivos: “En caso de ataque, los directores priorizan dos respuestas: la movilización rápida de expertos técnicos (84%) y la puesta a disposición de material para asegurar la continuidad de la atención (73%). Por otro lado, la comunicación de crisis o el apoyo de un compañero experimentado siguen siendo secundarios”. Entre las consecuencias percibidas de un incidente cibernético, los directores interrogados citan en primer lugar la continuidad de la atención y la seguridad de los pacientes. En tercer lugar, mencionan problemas de calidad de vida laboral, debido al estrés que generan. En cuanto a las lecciones aprendidas, el 73% de los encuestados considera como prioridad absoluta “la puesta a disposición de material informático y telefónico para reanudar la actividad”. El 84% también cita “la identificación de expertos técnicos movilizables instantáneamente”.
- Estudio sobre la ciberseguridad de los establecimientos de salud, ANS. Https://esante.gouv.fr/sites/default/files/media/document/Resultats-enquete-cyber-2025-ANS.pdf
