Incidentes14 min de lectura

Ransomware en Hospitales: Qué Exige la Ley 21.719 Tras un Ataque

Equipo Confidata·
Compartir

En la madrugada de un lunes, el sistema de fichas clínicas electrónicas de un hospital queda inaccesible. Las pantallas muestran un mensaje en inglés: los datos fueron cifrados y solo serán liberados mediante pago en criptomonedas. Cirugías electivas se suspenden. Resultados de exámenes desaparecen. Médicos vuelven a registros en papel. El equipo de TI entra en pánico. El DPD recibe una llamada.

Este escenario dejó de ser hipotético. Hospitales en todo el mundo — incluyendo Chile — ya han enfrentado ataques de ransomware con consecuencias reales, y la Ley 21.719 impone obligaciones específicas cuando datos personales de pacientes están involucrados. Este artículo explica qué exige la ley, qué ocurrió en casos concretos internacionales y cómo prepararse antes de que el ataque suceda.

Por qué los hospitales son el blanco preferido del ransomware

Los hospitales reúnen tres factores que los convierten en blancos ideales para grupos de ransomware.

1. Datos de altísimo valor. Las fichas clínicas contienen datos personales sensibles — historial de enfermedades, exámenes, medicamentos, información genética, datos de salud sexual y reproductiva. Según la Ley 21.719, son datos sensibles con régimen jurídico más restrictivo (Art. 16). En el mercado clandestino, los registros médicos valen hasta 10 veces más que los datos de tarjetas de crédito, porque no pueden "cancelarse" como una tarjeta — un diagnóstico es permanente.

2. Urgencia operacional. A diferencia de una tienda en línea, un hospital no puede simplemente "quedarse fuera de servicio". Los pacientes en UCI dependen de sistemas de monitoreo. Las cirugías agendadas no pueden esperar semanas. Esta presión lleva a los administradores a considerar pagar el rescate para restaurar el funcionamiento — exactamente lo que calculan los delincuentes.

3. Superficie de ataque amplia. Los hospitales operan con equipos médicos conectados (IoT), sistemas heredados sin actualizaciones, cientos de accesos remotos de médicos y proveedores, redes Wi-Fi de visitantes que comparten infraestructura con sistemas críticos. Cada punto es una puerta de entrada.

El resultado es previsible. En 2024, el sector salud fue el tercero más atacado por el cibercrimen en América Latina. Globalmente, más de 250 organizaciones de salud sufrieron ataques de ransomware en 2024 — dos veces y media el número registrado en 2021. En 2025, los ataques a hospitales y clínicas aumentaron un 30% adicional.

Qué ocurre cuando un hospital es atacado: casos internacionales

WannaCry y el NHS británico (2017)

El caso más emblemático a nivel mundial afectó al National Health Service (NHS) del Reino Unido en mayo de 2017. El ransomware WannaCry afectó a más de 60 trusts del NHS, llevando a la cancelación de aproximadamente 19.000 consultas y cirugías. Los hospitales no podían acceder a las fichas clínicas, las ambulancias fueron redirigidas y los procedimientos urgentes se aplazaron. Un estudio publicado en enero de 2025 demostró que el ataque causó daños de largo plazo a la salud de pacientes cuyos tratamientos fueron interrumpidos.

Synnovis y el NHS (2024)

En junio de 2024, un grupo hacker ruso atacó a Synnovis, empresa que provee servicios de patología y transfusión sanguínea para hospitales del NHS en Londres. El resultado: más de 10.000 consultas aplazadas y 1.700 procedimientos electivos cancelados. Los hospitales quedaron sin capacidad de procesar exámenes de sangre por semanas. El caso fue particularmente grave porque afectó servicios críticos de transfusión en hospitales de alta complejidad.

Change Healthcare — UnitedHealth Group, EE.UU. (2024)

En febrero de 2024, el grupo ALPHV/BlackCat atacó a Change Healthcare, procesador de pagos para el sistema de salud estadounidense. El impacto fue masivo: más de 100 millones de pacientes tuvieron sus datos comprometidos, farmacéuticas no podían procesar recetas y hospitales perdieron ingresos por semanas. Es el mayor ciberataque al sector salud registrado en la historia.

Hospital Clínic de Barcelona (2023)

En marzo de 2023, el ransomware RansomHouse atacó al Hospital Clínic de Barcelona, uno de los centros médicos más importantes de España. Tres centros de atención primaria afiliados también fueron afectados. Los servicios de urgencias debieron derivar pacientes a otros hospitales, y más de 150 GB de datos médicos confidenciales fueron robados y publicados en la dark web.

El patrón es claro: el ransomware en un hospital no es solo un problema de TI — es una emergencia asistencial.

Qué exige la Ley 21.719 tras un ataque de ransomware

Un ataque de ransomware que afecta datos de pacientes es, por definición, un incidente de seguridad bajo la Ley 21.719. La indisponibilidad de fichas clínicas ya configura un compromiso de la disponibilidad de datos personales. Si hubo exfiltración (robo de datos antes del cifrado), se suma el compromiso de la confidencialidad.

Las obligaciones del hospital están definidas principalmente en el Art. 14 sexies de la Ley 21.719 — el deber de reportar vulneraciones a las medidas de seguridad.

Obligación 1: Notificar a la APDP

El responsable del tratamiento debe notificar a la Agencia de Protección de Datos Personales (APDP) la ocurrencia del incidente siempre que este pueda generar un riesgo razonable para los titulares. Los datos de salud, por su naturaleza sensible, alcanzan ese umbral en prácticamente todos los escenarios de ransomware.

Obligación 2: Notificar a los titulares afectados

Cuando el incidente involucra datos sensibles (Art. 16), datos de menores de 14 años o datos económico-financieros, la notificación a los titulares (pacientes) es obligatoria. El hospital debe informar qué ocurrió, qué datos fueron afectados y qué medidas se están tomando.

Obligación 3: Registrar el incidente

Todos los incidentes — incluso los que no necesitan ser comunicados a la APDP — deben ser registrados internamente, con el registro conservado por al menos 5 años.

Cuál es el plazo para notificar a la APDP

El Art. 14 sexies establece que la notificación debe realizarse "por los medios más expeditos posibles y sin dilaciones indebidas y, cuando sea posible, a más tardar en un plazo de 72 horas" desde que el responsable toma conocimiento de que el incidente afectó datos personales.

Lo que la notificación a la APDP debe contener

  1. Descripción de la naturaleza de los datos personales afectados — ej.: fichas clínicas, resultados de exámenes, datos de identificación
  2. Información sobre los titulares involucrados — número estimado de pacientes afectados, categorías (internados, ambulatorios, trabajadores)
  3. Medidas técnicas y de seguridad utilizadas — cifrado, segmentación de red, backups (observados los secretos comerciales)
  4. Riesgos relacionados al incidente — posibilidad de discriminación, fraude, daño moral, riesgo para la vida del paciente
  5. Motivos de la demora — si la notificación no fue inmediata
  6. Medidas adoptadas o planificadas — para revertir o mitigar los efectos

Notificación preliminar

Si no es posible reunir toda la información en 72 horas, el responsable puede enviar una notificación preliminar y complementarla tan pronto como sea posible. Esta posibilidad existe porque la investigación forense de un ataque de ransomware frecuentemente lleva semanas. Sin embargo, el hospital no puede dejar de enviar la notificación inicial dentro del plazo.

Cómo comunicar el incidente a los pacientes

La comunicación a los titulares tiene objetivos prácticos: permitir que los pacientes tomen medidas de protección (monitorear el uso indebido de sus datos, cambiar contraseñas de portales de resultados) y cumplir la exigencia legal.

Qué informar a los pacientes

  • Qué ocurrió — en lenguaje accesible, sin jerga técnica
  • Qué datos fueron afectados — fichas clínicas, resultados de exámenes, datos de registro, datos financieros
  • Qué está haciendo el hospital — medidas de contención y recuperación
  • Qué debe hacer el paciente — monitorear actividades sospechosas, cambiar contraseñas de portales
  • Canal de contacto — teléfono, correo o formulario del DPD

Forma de la comunicación

La Ley 21.719 establece que la notificación debe ser individual y directa siempre que sea posible. Cuando el número de titulares afectados haga inviable la comunicación individual, puede recurrirse a medios de comunicación masiva de alcance nacional.

En hospitales, el desafío práctico es real: muchos pacientes son adultos mayores, no usan correo electrónico y no acceden a portales digitales. La comunicación puede requerir carta física o contacto telefónico.

¿Pagar el rescate es una opción?

La tentación de pagar el rescate para restaurar sistemas rápidamente es comprensible cuando vidas están en juego. Sin embargo, el pago presenta problemas jurídicos y prácticos serios.

No hay garantía de recuperación. Estudios muestran que entre el 40% y el 50% de las organizaciones que pagan el rescate no recuperan todos los datos. Algunos grupos de ransomware entregan herramientas de descifrado defectuosas deliberadamente.

Financia el crimen. El pago financia directamente a organizaciones criminales — muchas vinculadas a grupos con sanciones internacionales. Dependiendo del grupo, el pago puede configurar una violación de sanciones económicas.

No elimina la obligación de notificar. Aunque el hospital pague y recupere los datos, la obligación de comunicar a la APDP y a los titulares permanece. El incidente ocurrió y puede haber involucrado exfiltración de datos antes del cifrado.

Posición práctica. La APDP no prohíbe expresamente el pago, pero este no exime al responsable de ninguna obligación legal. Autoridades internacionales — como el FBI, la CISA y el NCSC británico — recomiendan firmemente no pagar. La respuesta correcta al ransomware es técnica, no financiera: restaurar desde backups, aislar los sistemas comprometidos y conducir una investigación forense.

Cuál es el impacto en la continuidad asistencial

El impacto de un ataque de ransomware en hospitales va más allá de la protección de datos. Afecta directamente la prestación de cuidados de salud.

Fichas clínicas inaccesibles. Sin acceso a la ficha clínica electrónica, los médicos pierden información sobre alergias, interacciones medicamentosas, historial de tratamientos y resultados de exámenes anteriores. Las decisiones clínicas pasan a tomarse con información incompleta.

Cirugías aplazadas. Los procedimientos electivos se cancelan porque los sistemas de imágenes (PACS), los informes y las fichas clínicas quedan no disponibles.

Equipos desconectados. Los equipos médicos conectados a la red — como monitores de signos vitales, bombas de infusión y ventiladores — pueden verse comprometidos o desconectados preventivamente para contener la propagación.

Traslado de pacientes. En casos graves, los pacientes en estado crítico deben trasladarse a otros hospitales, aumentando el riesgo clínico.

Retorno al papel. El personal asistencial vuelve a fichas manuales, lo que aumenta el riesgo de errores de medicación, pérdida de información y duplicación de exámenes.

La ficha clínica es, según la normativa chilena (Decreto 41/2012 MINSAL), un documento indispensable para la atención. Su indisponibilidad prolongada, causada por un ataque de ransomware, configura riesgo para la seguridad del paciente — una dimensión que va más allá de la Ley 21.719 y alcanza la regulación sanitaria.

Cómo los hospitales deben estructurar el plan de respuesta a ransomware

Un plan de respuesta genérico no es suficiente para hospitales. La naturaleza crítica de los servicios de salud exige un plan específico, con protocolos que consideren la continuidad asistencial.

Fase 1: Preparación (antes del ataque)

  • Mantener backups offline (air-gapped) probados regularmente — la restauración debe validarse, no solo el backup
  • Capacitar al equipo de TI, DPD y liderazgo clínico en simulaciones de ransomware
  • Definir el comité de crisis con representantes de TI, DPD, jurídico, dirección clínica y comunicaciones
  • Contratar o identificar previamente una empresa de respuesta a incidentes y forense digital
  • Documentar el protocolo de gestión de crisis de privacidad para la alta dirección

Fase 2: Detección y contención (primeras horas)

  • Aislar inmediatamente los sistemas comprometidos de la red
  • No apagar los servidores — preservar evidencias forenses en la memoria RAM
  • Activar el comité de crisis
  • Iniciar registro detallado de todas las acciones (log de incidente)
  • Evaluar si hubo exfiltración de datos (no solo cifrado)

Fase 3: Evaluación jurídica y regulatoria (primeras 24 horas)

  • El DPD evalúa si el incidente involucra datos personales y si hay riesgo razonable para los titulares
  • Iniciar la preparación de la notificación a la APDP (plazo: 72 horas)
  • Evaluar la necesidad de comunicación a los titulares
  • Consultar al asegurador cyber, si aplica
  • Contactar asesoría jurídica especializada

Fase 4: Comunicación (dentro de las 72 horas)

  • Enviar notificación a la APDP por los medios más expeditos
  • Comunicar a los titulares afectados (pacientes) por los canales más efectivos
  • Emitir comunicado interno para los trabajadores
  • Si es necesario, preparar comunicado de prensa

Fase 5: Recuperación y restauración

  • Restaurar sistemas desde backups verificados
  • Aplicar parches y correcciones de seguridad antes de reconectar sistemas
  • Validar la integridad de los datos restaurados
  • Restablecer operaciones de forma gradual, comenzando por sistemas críticos

Fase 6: Post-incidente

  • Complementar información a la APDP
  • Conducir análisis de causa raíz
  • Actualizar políticas y controles de seguridad
  • Documentar lecciones aprendidas
  • Actualizar el plan de respuesta con base en la experiencia real

Seguro cyber para hospitales: ¿cubre el ransomware?

El mercado de seguros cyber en Chile ha crecido sostenidamente, impulsado en parte por la Ley 21.719 y la conciencia de que los incidentes generan responsabilidad legal. La cobertura de ransomware para hospitales tiene particularidades.

Lo que las pólizas típicamente cubren

  • Costos de respuesta a incidentes — investigación forense, contención, asesoría jurídica
  • Pérdida de ingresos por interrupción — ingresos perdidos durante el período de indisponibilidad de los sistemas
  • Extorsión cibernética — en algunas pólizas, incluye reembolso del rescate y costos de restauración
  • Daños a terceros — acciones judiciales de pacientes perjudicados por la filtración
  • Costos de notificación — gastos de comunicación a la APDP y a los titulares
  • Gestión de crisis — asesoría de comunicación y relaciones públicas

Limitaciones importantes

  • Muchas pólizas excluyen el pago de rescate a grupos bajo sanciones internacionales
  • La cobertura puede negarse si el hospital no demuestra medidas mínimas de seguridad (ausencia de backup, falta de parches, ausencia de autenticación multifactor)
  • Las primas para hospitales tienden a ser más altas debido al perfil de riesgo del sector salud
  • El seguro no sustituye el cumplimiento de la Ley 21.719 — la APDP puede aplicar sanciones independientemente de la existencia de una póliza

El seguro cyber es una capa de protección financiera, no una estrategia de seguridad. La póliza complementa el programa de protección de datos — nunca lo sustituye.

Checklist: prevención y respuesta a ransomware en hospitales

Prevención

  • Backups offline (air-gapped) probados y validados mensualmente
  • Segmentación de red: sistemas clínicos aislados de redes administrativas y de visitantes
  • Autenticación multifactor (MFA) en todos los accesos remotos y cuentas privilegiadas
  • Parches de seguridad aplicados en hasta 72 horas para vulnerabilidades críticas
  • EDR (Endpoint Detection and Response) en todos los endpoints, incluyendo estaciones de trabajo clínicas
  • Capacitación de phishing para todos los trabajadores (médicos, enfermeros, administrativos)
  • Inventario actualizado de todos los dispositivos conectados (IoT médico, equipos de imagen)
  • Plan de continuidad asistencial documentado para escenario de indisponibilidad total de TI
  • Contrato previo con empresa de respuesta a incidentes y forense digital
  • Seguro cyber contratado y vigente, con cobertura para ransomware

Respuesta (cuando ocurra el ataque)

  • Aislar sistemas comprometidos de la red inmediatamente
  • Activar comité de crisis (TI, DPD, jurídico, dirección clínica, comunicaciones)
  • Preservar evidencias — no formatear servidores sin análisis forense
  • Evaluar si datos personales fueron afectados (indisponibilidad o exfiltración)
  • Notificar a la APDP en hasta 72 horas (Art. 14 sexies Ley 21.719)
  • Notificar a los pacientes afectados de forma individual y directa
  • No pagar rescate sin evaluación jurídica, forense y estratégica
  • Restaurar sistemas desde backups verificados
  • Documentar todas las acciones en el registro de incidentes (retención: 5 años)
  • Complementar información a la APDP tan pronto como sea posible
  • Conducir análisis de causa raíz y actualizar controles

Post-incidente

  • Reporte completo de lecciones aprendidas
  • Actualización del plan de respuesta a incidentes
  • Comunicación de cierre del incidente a la APDP
  • Revisión de contratos con proveedores de TI involucrados
  • Auditoría de seguridad independiente

Conclusión: la hora de prepararse es ahora

El ransomware en hospitales no es una cuestión de "si", sino de "cuándo". Los números son inequívocos: los ataques al sector salud crecieron un 30% en 2025, y Chile es uno de los países más afectados de América Latina. Los hospitales sin backups offline probados, plan de respuesta documentado y equipos capacitados están operando sin red de seguridad — tanto en el sentido técnico como en el jurídico.

La Ley 21.719 y su Art. 14 sexies no admiten la improvisación. El plazo de 72 horas para notificar a la APDP comienza a correr desde el momento en que el responsable toma conocimiento del incidente. La ausencia o el retraso en la notificación es factor agravante en la dosimetría de sanciones. Y los datos de salud, por ser sensibles, reciben un tratamiento más riguroso tanto en la evaluación de riesgo como en la aplicación de penalidades.

La preparación cuesta una fracción de lo que cuesta la respuesta. La inversión en prevención — backups, segmentación, capacitación, plan de respuesta — es medible y predecible. El costo de un ataque no mitigado — multas, acciones judiciales, daños reputacionales, riesgo para la vida de los pacientes — es incalculable.

Confidata ayuda a hospitales y clínicas a estructurar su programa de cumplimiento con la Ley 21.719, incluyendo gestión de incidentes, registro de actividades de tratamiento y respuesta regulatoria. Si su institución necesita un sistema que organice obligaciones, plazos y evidencias antes de que el incidente ocurra, conozca la plataforma.

Compartir
#ransomware#hospital#Ley 21.719#incidente de seguridad#datos de salud#APDP#notificación Chile

Artículos relacionados

Casos reales de incidentes de datos en Chile: lecciones aprendidasIncidentes · 12 minCómo comunicar una filtración de datos a los titulares afectadosIncidentes · 11 minPost-Incidente de Datos: Medidas Correctivas y Lecciones AprendidasIncidentes · 12 minGestión de crisis de privacidad: protocolo para C-levels y comité ejecutivoIncidentes · 13 min

¿Quiere ir más allá? Conozca Confidata Chile

Sistema completo de gestión de cumplimiento con Ley 21.719 e IA integrada para acelerar su programa de privacidad.

© 2026 Confidata Chile — Todos los derechos reservados|Privacidad|Cookies
Hablar con un especialista