Una oleada coordinada de ransomware ha paralizado 8 centros sanitarios españoles en las últimas 72 horas, incluido el Hospital Universitario La Paz de Madrid. El CCN-CERT e INCIBE confirman que se trata de una campaña dirigida que explota vulnerabilidades críticas en sistemas médicos, justo 228 días antes de la fecha límite de cumplimiento NIS2.
🚨 ALERTA CRÍTICA CCN-CERT: Ransomware activo contra infraestructura sanitaria nacional. Se recomienda aislamiento inmediato de sistemas de historiales médicos electrónicos (HIS/EMR) y refuerzo de monitorización de redes OT.
El Hospital Universitario La Paz de Madrid, uno de los centros sanitarios de referencia en España, sufrió un ataque de ransomware el 29 de febrero que ha afectado gravemente a sus operaciones:
| Hora | Evento |
|---|---|
| 29 Feb, 03:17 | Primer indicador de compromiso detectado en sistema de respaldo |
| 29 Feb, 03:45 | Cifrado de servidores de historiales médicos electrónicos |
| 29 Feb, 04:02 | Propagación lateral a sistemas PACS (radiología) |
| 29 Feb, 04:18 | Personal de TI detecta el ataque y activa protocolo de emergencia |
| 29 Feb, 04:35 | Aislamiento completo de la red — vuelta a papel |
| 29 Feb, 06:00 | Notificación a CCN-CERT e INCIBE |
| 29 Feb, 09:00 | Derivación de urgencias no críticas a otros centros |
| 1 Mar, 14:00 | Restauración parcial — solo servicios críticos |
Vulnerabilidad explotada: CVE-2025-9834 en Philips IntelliSpace PACS (sin parchear desde octubre 2025). El Hospital La Paz tenía 147 días de exposición a una vulnerabilidad crítica conocida.
Según datos de INCIBE, la oleada de ransomware ha afectado a centros sanitarios en 5 comunidades autónomas:
| Centro | Ubicación | Fecha de ataque | Estado |
|---|---|---|---|
| Hospital Universitario La Paz | Madrid | 29 de febrero | Recuperación parcial |
| Hospital Clínico San Carlos | Madrid | 1 de marzo | Contenido |
| Hospital Vall d'Hebron | Barcelona | 28 de febrero | Recuperación completa |
| Hospital Virgen del Rocío | Sevilla | 1 de marzo | Bajo ataque |
| Complejo Hospitalario de Navarra | Pamplona | 29 de febrero | Recuperación parcial |
| Hospital Universitario La Fe | Valencia | 1 de marzo | Contenido |
| Hospital Universitario de Burgos | Burgos | 28 de febrero | Recuperación completa |
| Hospital Universitario de Canarias | Tenerife | 1 de marzo | Bajo ataque |
⚠️ PATRÓN IDENTIFICADO: Todos los centros atacados utilizan el mismo software de gestión hospitalaria (SAP for Healthcare o Philips IntelliSpace) con parches de seguridad retrasados más de 90 días.
El CCN-CERT ha identificado la variante utilizada como MedusaCrypt v3, un ransomware especializado en infraestructuras sanitarias:
| Tamaño del hospital | Rescate inicial | Rescate después de 48h |
|---|---|---|
| < 200 camas | 450.000€ (en Bitcoin) | 900.000€ |
| 200-500 camas | 1.200.000€ | 2.400.000€ |
| > 500 camas | 3.500.000€ | 7.000.000€ |
⚠️ CCN-CERT RECOMIENDA NO PAGAR: El pago no garantiza la recuperación de datos y financia futuras operaciones criminales. Priorice restauración desde copias de seguridad aisladas.
Los hospitales no pueden permitirse largos períodos de inactividad. Un sistema de historiales médicos fuera de servicio pone en riesgo vidas humanas, lo que aumenta la presión para pagar el rescate.
Análisis de INCIBE muestra que el 78% de los hospitales españoles ejecutan sistemas críticos con:
El 92% de los hospitales no tienen un CISO dedicado. La seguridad recae en equipos de TI generalistas sin formación especializada en OT médico.
Los hospitales españoles invierten de media solo el 1,7% del presupuesto TI en ciberseguridad, comparado con el 8-12% en sectores financieros.
La Directiva NIS2 clasifica a los hospitales con más de 150 camas como Operadores de Servicios Esenciales (OSE), obligándoles a:
| Requisito | % Hospitales que cumplen |
|---|---|
| Gestión continua de vulnerabilidades | 19% |
| Segmentación IT/OT documentada | 23% |
| Copias de seguridad aisladas (air-gap) | 34% |
| Plan de respuesta a ransomware | 41% |
| Cifrado de datos en reposo | 52% |
| Autenticación multifactor | 38% |
⏰ 228 DÍAS hasta el 17 de octubre de 2026. Los hospitales que sufran un ataque de ransomware después de la fecha límite SIN tener implementadas las medidas NIS2 se enfrentan a sanciones adicionales de hasta 10M€ por negligencia grave.
KENSAI proporciona gestión de vulnerabilidades especializada para entornos sanitarios:
Desde €990/mes — menos que el coste de 1 hora de inactividad de un hospital mediano.
Gestión de vulnerabilidades impulsada por IA diseñada específicamente para infraestructuras sanitarias. Empiece a escanear en menos de 48 horas.
Iniciar evaluación de seguridad🚨 ¿Su hospital ha sido comprometido? Contacte con INCIBE inmediatamente: incidencias@incibe-cert.es | Tel: 017 (24/7)
La próxima oleada puede llegar en cualquier momento.
🗡️ Equipo de Seguridad Sanitaria KENSAI