Seguridad de datos en tu consultorio: cómo proteger la información de tus pacientes

En 2025, un grupo de ransomware atacó una cadena de clínicas dentales en Brasil y encriptó todas las historias clínicas de 12.000 pacientes. Pidieron un rescate de USD 80.000 en Bitcoin. La clínica no tenía backups externos. Pagó.

Este tipo de ataques ya no son exclusivos de hospitales o grandes corporaciones. Las clínicas dentales pequeñas y medianas son un objetivo atractivo precisamente porque creen que no lo son. Tienen datos sensibles (nombres, DNI, diagnósticos, radiografías) y casi nunca invierten en seguridad.

1. ¿Qué datos manejás y por qué son valiosos?

Tu consultorio almacena más información sensible de la que pensás:

• Datos personales: nombre completo, DNI/CURP/RUT, fecha de nacimiento, dirección, teléfono
• Datos médicos: historia clínica, diagnósticos, alergias, medicación, radiografías
• Datos financieros: forma de pago, facturación, deudas, obras sociales
• Imágenes: fotos intraorales, panorámicas, tomografías, fotos de antes/después

En el mercado negro, un registro médico completo vale entre USD 50 y USD 250. Mucho más que un número de tarjeta de crédito (USD 5-10). ¿Por qué? Porque un registro médico contiene suficiente información para cometer robo de identidad, fraude de seguros y extorsión.

2. Las 5 amenazas más comunes en clínicas dentales

Ransomware

Software malicioso que encripta tus archivos y pide un rescate para devolvértelos. Entra generalmente por un email con adjunto infectado o un link falso. Una vez adentro, encripta todo en minutos.

Phishing

Emails que imitan a tu banco, tu proveedor de software o incluso a una obra social. Te piden que "verifiques tu cuenta" o "actualices tu contraseña". El link te lleva a un sitio falso que captura tus credenciales.

Acceso físico no controlado

La computadora de recepción queda desbloqueada, un pendrive infectado se conecta, un ex-empleado conserva sus credenciales. El 60% de los incidentes de seguridad en salud involucran personas internas.

Software desactualizado

Ese Windows 7 que "anda perfecto" tiene vulnerabilidades conocidas que cualquier hacker puede explotar. Lo mismo aplica al antivirus vencido y al router con la contraseña de fábrica.

Backups inexistentes o ineficaces

Tener un backup en un disco externo que está conectado permanentemente a la PC no es un backup. Si el ransomware encripta la PC, encripta también el disco externo.

3. Plan de seguridad básico para tu consultorio

No necesitás ser experto en ciberseguridad. Estos 7 pasos cubren el 90% de los riesgos:

Paso 1: Contraseñas fuertes + gestor de contraseñas

Nada de "clinica2024" ni "doctor123". Usá un gestor como Bitwarden (gratuito) o 1Password. Cada sistema tiene su propia contraseña única de al menos 12 caracteres. Y activá la verificación en dos pasos (2FA) en todo lo que puedas.

Paso 2: Backups 3-2-1

La regla de oro: 3 copias de tus datos, en 2 medios diferentes, con 1 copia fuera del consultorio (nube o disco en otra ubicación). Y lo más importante: probá restaurar el backup al menos una vez al mes.

Paso 3: Actualizaciones automáticas

Windows, macOS, tu antivirus, tu navegador, tu software dental. Todo actualizado. Configurá las actualizaciones automáticas fuera del horario de atención.

Paso 4: Antivirus + firewall activos

Windows Defender es suficiente para la mayoría de las clínicas si está actualizado. Lo importante es que esté activo y actualizado. Sumale un firewall de red en el router.

Paso 5: Permisos por rol

No todo el equipo necesita acceso a todo. La recepcionista accede a la agenda y datos de contacto. El dentista accede a la historia clínica. El contador accede a la facturación. Principio de mínimo privilegio.

Paso 6: Capacitación del equipo

La mejor tecnología del mundo no sirve si tu secretaria abre un adjunto de "Factura_pendiente.exe". Hacé una charla de 30 minutos con tu equipo sobre phishing, contraseñas y manejo de datos. Repetila cada 6 meses.

Paso 7: Plan de respuesta

Si pasa algo, ¿qué hacés? Tené un protocolo simple: desconectar la PC de la red, contactar al proveedor de IT, restaurar el backup, notificar a los pacientes afectados si hay filtración de datos.

4. Normativa: ¿estás obligado legalmente?

Sí. En la mayoría de los países de Latinoamérica existen leyes de protección de datos personales que aplican a tu consultorio:

• Argentina: Ley 25.326 de Protección de Datos Personales
• México: Ley Federal de Protección de Datos Personales (LFPDPPP)
• Colombia: Ley 1581 de Protección de Datos y Ley 2015 de Historia Clínica Electrónica
• Chile: Ley 19.628 y la nueva Ley de Protección de Datos (2024)
• Brasil: LGPD (Lei Geral de Proteção de Dados)

Todas exigen que tomes medidas razonables para proteger los datos de tus pacientes. Si sufrís una filtración y no tenías protecciones básicas, la multa puede ser significativa. Más allá de la multa, el daño reputacional puede ser irreparable.

5. Software en la nube vs. local: ¿qué es más seguro?

Contra la intuición de muchos, el software en la nube (SaaS) suele ser más seguro que un servidor local para clínicas pequeñas. ¿Por qué?

• Los proveedores de nube invierten millones en seguridad que vos no podés replicar
• Los backups son automáticos y geográficamente distribuidos
• Las actualizaciones de seguridad se aplican sin que tengas que hacer nada
• Si te roban la computadora del consultorio, los datos siguen seguros en la nube
• El acceso se puede revocar remotamente si un empleado se va

La excepción: si usás un software de nube con contraseña débil y sin 2FA, estás peor que con un servidor local desconectado. La herramienta es tan segura como tu eslabón más débil.

Conclusión: la seguridad no es un gasto, es un seguro

Implementar las medidas de este artículo te toma un fin de semana. No hacerlo puede costarte la confianza de tus pacientes, multas legales y meses de reconstrucción de datos.

Empezá hoy: cambiá las contraseñas, configurá un backup en la nube, actualizá el software. Y si estás evaluando un software dental, que la seguridad sea el primer criterio, no el último.