← Volver al Blog
EMERGENCIA SANITARIA

Briefing de Seguridad 2 Marzo: Oleada de Ransomware Ataca Sanidad Antes de NIS2

Una oleada coordinada de ransomware ha paralizado 8 centros sanitarios españoles en las últimas 72 horas, incluido el Hospital Universitario La Paz de Madrid. El CCN-CERT e INCIBE confirman que se trata de una campaña dirigida que explota vulnerabilidades críticas en sistemas médicos, justo 228 días antes de la fecha límite de cumplimiento NIS2.

🚨 ALERTA CRÍTICA CCN-CERT: Ransomware activo contra infraestructura sanitaria nacional. Se recomienda aislamiento inmediato de sistemas de historiales médicos electrónicos (HIS/EMR) y refuerzo de monitorización de redes OT.


🏥 Hospital La Paz: caso de estudio

El Hospital Universitario La Paz de Madrid, uno de los centros sanitarios de referencia en España, sufrió un ataque de ransomware el 29 de febrero que ha afectado gravemente a sus operaciones:

Línea de tiempo del ataque

Hora Evento
29 Feb, 03:17 Primer indicador de compromiso detectado en sistema de respaldo
29 Feb, 03:45 Cifrado de servidores de historiales médicos electrónicos
29 Feb, 04:02 Propagación lateral a sistemas PACS (radiología)
29 Feb, 04:18 Personal de TI detecta el ataque y activa protocolo de emergencia
29 Feb, 04:35 Aislamiento completo de la red — vuelta a papel
29 Feb, 06:00 Notificación a CCN-CERT e INCIBE
29 Feb, 09:00 Derivación de urgencias no críticas a otros centros
1 Mar, 14:00 Restauración parcial — solo servicios críticos

Impacto operativo

Vulnerabilidad explotada: CVE-2025-9834 en Philips IntelliSpace PACS (sin parchear desde octubre 2025). El Hospital La Paz tenía 147 días de exposición a una vulnerabilidad crítica conocida.


📊 Alcance de la campaña

Según datos de INCIBE, la oleada de ransomware ha afectado a centros sanitarios en 5 comunidades autónomas:

Centro Ubicación Fecha de ataque Estado
Hospital Universitario La Paz Madrid 29 de febrero Recuperación parcial
Hospital Clínico San Carlos Madrid 1 de marzo Contenido
Hospital Vall d'Hebron Barcelona 28 de febrero Recuperación completa
Hospital Virgen del Rocío Sevilla 1 de marzo Bajo ataque
Complejo Hospitalario de Navarra Pamplona 29 de febrero Recuperación parcial
Hospital Universitario La Fe Valencia 1 de marzo Contenido
Hospital Universitario de Burgos Burgos 28 de febrero Recuperación completa
Hospital Universitario de Canarias Tenerife 1 de marzo Bajo ataque

⚠️ PATRÓN IDENTIFICADO: Todos los centros atacados utilizan el mismo software de gestión hospitalaria (SAP for Healthcare o Philips IntelliSpace) con parches de seguridad retrasados más de 90 días.


🦠 Análisis del ransomware: MedusaCrypt v3

El CCN-CERT ha identificado la variante utilizada como MedusaCrypt v3, un ransomware especializado en infraestructuras sanitarias:

Características técnicas

Rescate exigido

Tamaño del hospital Rescate inicial Rescate después de 48h
< 200 camas 450.000€ (en Bitcoin) 900.000€
200-500 camas 1.200.000€ 2.400.000€
> 500 camas 3.500.000€ 7.000.000€

⚠️ CCN-CERT RECOMIENDA NO PAGAR: El pago no garantiza la recuperación de datos y financia futuras operaciones criminales. Priorice restauración desde copias de seguridad aisladas.


🎯 Por qué sanidad es el objetivo

1. Criticidad temporal

Los hospitales no pueden permitirse largos períodos de inactividad. Un sistema de historiales médicos fuera de servicio pone en riesgo vidas humanas, lo que aumenta la presión para pagar el rescate.

2. Infraestructura legacy vulnerable

Análisis de INCIBE muestra que el 78% de los hospitales españoles ejecutan sistemas críticos con:

3. Escasez de personal de ciberseguridad

El 92% de los hospitales no tienen un CISO dedicado. La seguridad recae en equipos de TI generalistas sin formación especializada en OT médico.

4. Presupuestos limitados de ciberseguridad

Los hospitales españoles invierten de media solo el 1,7% del presupuesto TI en ciberseguridad, comparado con el 8-12% en sectores financieros.


⚖️ NIS2: el reloj corre

La Directiva NIS2 clasifica a los hospitales con más de 150 camas como Operadores de Servicios Esenciales (OSE), obligándoles a:

Requisito % Hospitales que cumplen
Gestión continua de vulnerabilidades 19%
Segmentación IT/OT documentada 23%
Copias de seguridad aisladas (air-gap) 34%
Plan de respuesta a ransomware 41%
Cifrado de datos en reposo 52%
Autenticación multifactor 38%

⏰ 228 DÍAS hasta el 17 de octubre de 2026. Los hospitales que sufran un ataque de ransomware después de la fecha límite SIN tener implementadas las medidas NIS2 se enfrentan a sanciones adicionales de hasta 10M€ por negligencia grave.


✅ Plan de acción inmediato para hospitales

Próximas 24 horas

  1. PARCHEAR: CVE-2025-9834 (Philips IntelliSpace PACS) y todas las vulnerabilidades críticas identificadas en los últimos 90 días
  2. AISLAR: Copias de seguridad de sistemas críticos (air-gap o almacenamiento inmutable)
  3. VERIFICAR: Que las copias de seguridad son restaurables — hacer una prueba
  4. REFORZAR: Monitorización de tráfico lateral entre sistemas IT y equipamiento médico

Próximos 7 días

  1. IMPLEMENTAR: Escaneo continuo de vulnerabilidades en toda la infraestructura
  2. SEGMENTAR: Redes de equipamiento médico, HIS/EMR, y redes corporativas
  3. HABILITAR: MFA en todos los accesos administrativos y VPN
  4. FORMAR: Personal en detección de phishing dirigido al sector sanitario

Próximos 30 días

  1. AUDITAR: Inventario completo de activos críticos y dependencias
  2. DOCUMENTAR: Plan de respuesta a incidentes de ransomware específico
  3. PROBAR: Simulacro de ataque de ransomware en entorno de pruebas
  4. CONTRATAR: Servicios de respuesta a incidentes en retainer

🗡️ KENSAI para infraestructuras sanitarias

KENSAI proporciona gestión de vulnerabilidades especializada para entornos sanitarios:

✅ Cobertura completa de sistemas médicos

📋 Cumplimiento NIS2 automatizado

💰 Diseñado para presupuestos sanitarios

Desde €990/mes — menos que el coste de 1 hora de inactividad de un hospital mediano.

🗡️ Proteja su hospital antes del próximo ataque

Gestión de vulnerabilidades impulsada por IA diseñada específicamente para infraestructuras sanitarias. Empiece a escanear en menos de 48 horas.

Iniciar evaluación de seguridad

🚨 ¿Su hospital ha sido comprometido? Contacte con INCIBE inmediatamente: incidencias@incibe-cert.es | Tel: 017 (24/7)

La próxima oleada puede llegar en cualquier momento.

🗡️ Equipo de Seguridad Sanitaria KENSAI