Edición Especial Ciberseguridad

Boletín Informativo

Ransomware
En el Sector Salud

Guía estratégica institucional de prevención, blindaje de equipos de computación y protocolos de respuesta ante incidentes críticos de secuestro digital.

ÁREA: Tecnologías

Personal de Salud

Soporte Técnico

1. Editorial

La Ciberseguridad en Salud: Una Responsabilidad Compartida

La transformación tecnológica en el sector salud ha optimizado la administración y la atención médica; sin embargo, también ha abierto la puerta a amenazas críticas como el Ransomware. En un entorno sanitario, el secuestro digital de la información supera el ámbito administrativo: la parálisis de redes compartidas puede incomunicar equipamiento biomédico de alta complejidad y sistemas de soporte vital, transformando un incidente informático en un riesgo directo para la vida de los pacientes.

Ante este escenario, las herramientas técnicas como antivirus o cortafuegos son insuficientes si no se complementan con el factor humano. La verdadera primera línea de defensa radica en adoptar hábitos estrictos de higiene digital en cada puesto de trabajo. Acciones cotidianas como verificar minuciosamente los remitentes de correos, rechazar cadenas de mensajes, implementar contraseñas seguras con doble factor de autenticación (2FA) y garantizar el aislamiento físico de los respaldos de datos (Offline) son las barreras que neutralizan los ataques.

Esta revista digital interactiva surge como una herramienta práctica para concientizar y capacitar al personal técnico, médico y administrativo. Proteger los activos tecnológicos del sistema de salud no es tarea de un solo departamento, sino un compromiso colectivo para garantizar la continuidad de los servicios y resguardar la seguridad de la población.

Área de Sistemas e Informática Gestión 2026

2. ¿Qué es el Ransomware?

El Ransomware (derivado de los términos en inglés ransom, que significa rescate, y software, programa informático) se ha consolidado como la amenaza cibernética más devastadora y lucrativa del siglo XXI. No se trata de un virus común que ralentiza el sistema o despliega publicidad molesta; es un arma digital diseñada con fines de extorsión financiera directa.

Técnicamente, es un tipo de código malicioso sofisticado que, una vez ejecuta sus instrucciones, restringe por completo el acceso a los archivos, bases de datos, aplicaciones o sistemas operativos de un equipo o de toda una infraestructura institucional. Esta restricción se logra mediante el cifrado (o encriptación): un proceso matemático avanzado que transforma los datos legibles en un bloque de código caótico e incomprensible. Una vez completado este proceso, los ciberdelincuentes exigen un rescate económico casi siempre a través de criptomonedas como el Bitcoin debido a la dificultad para rastrear estas transacciones a cambio de proveer una supuesta clave de descifrado.

En Palabras Simples

Imagine que usted llega a su puesto de trabajo en el Ministerio, SEDES, hospital o centro de salud, y al intentar abrir su computadora, descubre que un intruso ha colocado un candado de acero digital de alta seguridad a cada uno de sus archivos de texto, planillas, proyectos, reportes epidemiológicos y expedientes de salud. En medio de la pantalla, aparece una nota que dice: "Si quiere la llave para abrir el candado y recuperar sus años de trabajo y registros, debe transferir dinero en las próximas 48 horas". Eso es exactamente lo que hace el ransomware.

3. ¿Cómo Funciona un Ataque de Ransomware?

Un ataque de Ransomware no es un evento instantáneo; es un proceso coordinado que se ejecuta de manera silenciosa a través de un ciclo de vida bien definido. Comprender estas fases es crucial para que todo el personal del sistema de salud (administrativos, médicos, enfermeras y técnicos) sepa en qué momento se puede romper la cadena del ataque.

Ciclo de Vida del Ataque

Fase 1: Infiltración e Infección inicial: Infiltra el perímetro de seguridad institucional o de la red hospitalaria valiéndose principalmente del Phishing (falsos correos institucionales o judiciales) o mediante dispositivos USB contaminados. El Ransomware ya no se limita a archivos comprimidos (.zip o .rar) o macros de Office. Ahora, los ciberdelincuentes ocultan el código malicioso en archivos de imagen (.png, .jpg) o archivos multimedia y de audio. Al abrir una fotografía o captura que parece legítima, el malware aprovecha vulnerabilidades ocultas en los programas visores para ejecutar el virus en segundo plano, tomando el control de la computadora de manera inmediata y silenciosa.
Fase 2: Reconocimiento y Propagación Lateral: Escanea minuciosamente la red interna del Ministerio, del SEDES o del hospital afectado. Actuando como un espía silencioso, el malware rastrea computadoras conectadas, bases de datos e infraestructura central donde se procesan los sistemas de salud y el Sistema Único de Salud (SUS), con el objetivo de infectar la mayor cantidad de nodos y servidores posibles antes de levantar sospechas. El Ransomware aprovecha la existencia de malas prácticas técnicas, como recursos compartidos de forma global y desprotegida (por ejemplo, compartir el disco completo D: de un equipo de soporte sin autenticación ni segmentación de red). El virus utiliza estos accesos abiertos para saltar en segundos de una terminal común a servidores críticos, indexando repositorios completos que debieron estar estrictamente aislados.
Fase 3: Cifrado y Bloqueo de Datos: Inicia la fase destructiva una vez alcanzada la máxima extensión en la red. Utilizando algoritmos criptográficos de grado militar (como AES-256 o RSA), el Ransomware comienza a reescribir y encriptar los archivos a velocidad imperceptible. Los documentos cambian de icono y adquieren extensiones extrañas (ej. informe.docx pasa a llamarse informe.docx.locked). El usuario pierde el acceso de forma inmediata.
Fase 4: Extorsión y Nota de Rescate: Despliega de forma automática un archivo de texto o cambia el fondo de pantalla mostrando las instrucciones del secuestro una vez inutilizada la información. En esta nota se detalla el monto económico exigido, el monedero de criptomonedas y el límite de tiempo estricto para pagar.
Fase 5: Presión Adicional (Doble Extorsión): Exfiltra (roba) copias de bases de datos confidenciales durante la fase de propagación. Si la institución o el hospital decide no pagar el rescate porque cuenta con respaldos, los criminales amenazan con publicar la información confidencial de pacientes, personal médico o registros administrativos en la Dark Web, dañando de forma irreversible la reputación del Estado.

Infografía 1: Fases del Ataque

Infiltración: Phishing o USB. Oculto en imágenes y audios comunes.

Propagación: Escaneo del SUS y servidores. Recursos compartidos expuestos.

Cifrado: Cifrado militar AES-256 en segundo plano. Archivos .locked.

Extorsión: Nota de rescate exigiendo criptomonedas y amenazas Dark Web.

4. Tipos de Ransomware más Conocidos

Para comprender la magnitud de la amenaza en todo el ecosistema de salud pública, debemos analizar tanto el comportamiento del código en el equipo como sus modelos de operación:

A. Crypto Ransomware (Ransomware Criptográfico): Cifra y muta la estructura interna de los archivos (documentos, imágenes médicas, bases de datos y repositorios) volviéndolos inaccesibles. Transforma el entorno de trabajo en un cascarón inservible. Sus linajes más peligrosos son:

WannaCry: Aprovecha fallas en protocolos de red compartida para propagarse automáticamente por hospitales y oficinas sin intervención del usuario.
LockBit: Opera con un escaneo ultra veloz para detectar configuraciones deficientes y automatizar el secuestro de datos en red.
Conti: Ejecuta ataques dirigidos destruyendo deliberadamente los respaldos locales antes de iniciar el cifrado.
Ryuk: Ataca de forma silenciosa grandes infraestructuras gubernamentales y de salud, actuando en fines de semana o feriados.

B. Locker Ransomware (Ransomware de Bloqueo): Bloquea y deniega el acceso total a la interfaz de usuario de la computadora o equipo médico. Secuestra la pantalla completa mediante una interfaz gráfica que se sobrepone al sistema operativo, deshabilitando el teclado y el ratón para impedir cualquier interacción hasta que se efectúe el pago.

C. Double Extortion Ransomware (Ransomware de Doble Extorsión): Exfiltra y expone la información sensible de la institución o del establecimiento de salud antes de cifrar las pantallas. Si el hospital o sede cuenta con respaldos y no paga, los atacantes utilizan los datos robados (como historiales, censos o planillas) para presionar psicológicamente con su publicación en la Dark Web.

D. Ransomware como Servicio (RaaS): Distribuye y comercializa el software malicioso bajo un modelo de suscripción o franquicia ilegal. Los desarrolladores avanzados alquilan el virus a delincuentes comunes (afiliados) a cambio de un porcentaje de las ganancias del rescate, masificando los ataques contra entidades públicas y centros de salud.

5. Métodos de Ingreso Utilizados por los Atacantes

El Ransomware requiere explotar un descuido operativo o una configuración permisiva para ingresar a la red de salud. Los ciberdelincuentes despliegan múltiples tácticas adaptadas a la rutina de los centros médicos y oficinas:

A. Correos Electrónicos Fraudulentos (Phishing): Engaña y manipula al personal simulando alertas de urgencia como: "Su cuenta será suspendida de inmediato", "Factura pendiente de pago", "Actualice su contraseña urgentemente" o "Cuenta con un Requerimiento / Proceso Judicial".
B. Archivos Adjuntos Maliciosos: Camufla y transporta el código dañino dentro de formatos documentales cotidianos en la gestión pública e interhospitalaria (PDF, Word, Excel, ZIP, facturas o memorándums falsos), activándose al abrir el documento o autorizar macros.
C. Contraseñas Débiles y Predecibles: Descubre y violenta los accesos a los sistemas mediante herramientas automáticas de fuerza bruta. Los delincuentes aprovechan contraseñas simples basadas en patrones comunes o nombres institucionales (ej. 123456, admin123, Ministerio123, Sistemas2026).
D. Software Desactualizado (Sistemas sin Parches): Explota las brechas de seguridad en sistemas operativos y navegadores que no han sido actualizados por el equipo técnico del hospital o establecimiento, permitiendo ingresos remotos automatizados.
E. Dispositivos USB Infectados (El Peligro del Entorno Familiar): Introduce el virus físicamente en los puertos de los equipos de la institución. Las memorias USB personales se contaminan silenciosamente en los domicilios porque en los hogares no se cuenta con antivirus licenciados ni inversión en seguridad informática. Al conectar ese mismo pendrive en el hospital o establecimiento, el malware salta al ecosistema del Estado.
F. Accesos Remotos Inseguros y Servicios Expuestos: Rastrea y compromete servicios publicados hacia Internet sin protección adecuada (protocolos RDP, VPNs mal configuradas o aplicaciones web vulnerables), usándolos como cabeza de playa para apoderarse de la infraestructura central.

6. Daños que Provoca el Ransomware

Si el Ransomware lograra infiltrarse en la infraestructura del Ministerio, de un SEDES o de un hospital, las consecuencias serían inmediatas y severas. Involucraría un costo económico sumamente elevado para la remediación y restauración de los equipos de computación y servidores. Asimismo, el trabajo cotidiano de los funcionarios y del personal de salud se vería completamente detenido por un tiempo prolongado, congelando la gestión y la atención médica debido a la imposibilidad de acceder a las herramientas informáticas elementales.

Los daños provocados por este esquema de extorsión se consolidan en los siguientes ejes destructivos:

A. Interrupción de Servicios y Operaciones: Paraliza la continuidad de los flujos de gestión pública y los canales informáticos de salud:
- Sistemas Administrativos: Bloquea la ejecución presupuestaria, contrataciones y trámites internos.
- Correo Institucional: Corta la comunicación oficial entre el Ministerio, los SEDES, programas nacionales y establecimientos de salud.
- Aplicaciones de Salud: Inhabilita plataformas críticas de monitoreo epidemiológico, el registro del Sistema Único de Salud (SUS), el control de vacunación, entre otros.
- Gestión Documental: Congela la tramitación interna (SICAP) y la correspondencia digital externa (SOFTCOM) indispensable para la legalidad institucional.
B. Pérdida Definitiva de Información: Inutiliza el patrimonio documental acumulado durante años. Al quedar encriptados los archivos bajo algoritmos militares sin políticas de respaldo eficientes, la pérdida se vuelve permanente, desapareciendo proyectos de inversión hospitalaria e informes técnicos estratégicos.
C. Fuga de Datos y Quiebre de Confidencialidad: Exfiltra y expone activos de información sensibles ante el internet público o la Dark Web, comprometiendo datos agregados de pacientes (estadísticas y censos de salud), información financiera de proveedores y correspondencia clasificada.
D. Impacto Económico e Institucional: Agota recursos públicos destinados a la salud de la población para atender la crisis informática, abarcando el costo de recuperación y reconstrucción de los sistemas, las horas de trabajo perdidas por el personal varado y la contratación de especialistas externos para la respuesta forense.
E. Daño Reputacional y Riesgo para la Atención en Salud: Debilita la confianza de la ciudadanía en la capacidad de custodia del Estado. En el sector salud, una interrupción de la infraestructura tecnológica de un hospital o ente administrativo afecta de manera directa la continuidad de los servicios a la población.

7. Casos Reales de Ransomware en el Sector Salud

El secuestro de infraestructuras sanitarias gubernamentales y hospitalarias no es un escenario de ciencia ficción. En los últimos años, múltiples organizaciones públicas y ministerios alrededor del mundo han sufrido ataques devastadores que demuestran la agresividad de las mafias cibernéticas, tal como ocurrió en algunas dependencias del Estado Plurinacional de Bolivia en la presente gestión.

A continuación, analizamos los casos internacionales más impactantes en el sector público y hospitalario:

A. El Ataque Continental a los Servicios de Salud de Irlanda (HSE): Paraliza el sistema de salud pública de todo un país. El Servicio Ejecutivo de Salud (HSE) de Irlanda sufrió un ataque masivo por parte del grupo Conti, que vulneró la red central mediante un correo de Phishing. Esto obligó a apagar de forma preventiva todos sus servidores y sistemas informáticos nacionales. La restauración total tomó meses y costó más de 100 millones de dólares, afectando el procesamiento de datos médicos y gestiones presupuestarias del Estado.
B. El Secuestro de los Sistemas en Costa Rica: Extorsiona la operación institucional de un Gobierno latinoamericano. El grupo Conti atacó secuencialmente los servidores de la Caja Costa Rricense de Seguro Social (CCSS) y el Ministerio de Salud, bloqueando las plataformas informáticas de gestión de cobros, planillas estatales y los sistemas centralizados de vigilancia epidemiológica. La parálisis obligó al Gobierno a decretar un Estado de Emergencia Nacional ante el incidente informático.
C. La Crisis del Centura Health y el Hospital Universal Health Services (UHS): Inutiliza la operación clínica directa en una de las mayores cadenas de hospitales de la región. UHS, que administra una red masiva de hospitales y centros asistenciales, sufrió un ataque de Ransomware a gran escala por parte del linaje Ryuk. El malware bloqueó el acceso a los servidores de farmacia, laboratorio y radiología de múltiples centros médicos en cuestión de minutos. El impacto financiero directo para la mitigación del incidente, la contratación de consultoría de respuesta forense urgente, la recuperación total de los sistemas informáticos dañados y las pérdidas operativas por desvío de ambulancias ascendió a un costo aproximado de 67 millones de dólares.
D. La Infiltración al Sistema de Salud de Londres (Reino Unido): Interrumpe la transferencia de datos analíticos para la red de salud pública británica. Un ataque de Ransomware del grupo Qilin contra el proveedor público de servicios analíticos Synnovis provocó una crisis que afectó a los principales hospitales públicos de Londres. El malware encriptó los servidores encargados de procesar análisis de sangre y transfusiones, obligando a cancelar miles de citas y cirugías planificadas debido a la falta de comunicación de datos administrativos centrales.

Comentario Breve: ¿Cómo afectaría esto directamente en un Hospital?

Aunque las plataformas centrales operan como entes reguladores y administrativos, un ataque a nuestras redes compartidas e infraestructura central provocaría un efecto dominó devastador en el suelo hospitalario. En la realidad de nuestro país, donde la digitalización de Historias Clínicas se encuentra aún en una etapa de implementación y transición gradual, el avance tecnológico más significativo y tangible radica en el modernizado equipamiento médico de alta complejidad, el cual opera hoy en día enlazado directamente a la red.

Si un Ransomware logra propagarse por la red de un hospital, el impacto más crítico y peligroso recaerá directamente sobre este equipamiento tecnológico médico conectado. Dispositivos de soporte vital, sistemas de monitoreo en terapia intensiva, equipos de imagenología (como tomógrafos y resonadores) y laboratorios automatizados podrían quedar incomunicados o inoperativos al bloquearse los servidores de red que procesan y transfieren sus datos. Al comprometer la tecnología médica que sostiene la vida y el diagnóstico inmediato del paciente, la parálisis informática deja de ser un problema administrativo y se transforma, de forma directa, en un riesgo crítico para la vida de la población.

Infografía 2: Impacto Financiero y Clínico

Irlanda: +100 Millones USD en consultoría y restauración total de servidores informáticos.

Complejo UHS: ~67 Millones USD por desvíos y contención urgente.

Peligro Biomédico: Incomunicación crítica inmediata de redes médicas de soporte vital.

8. ¿Cómo Proteger mi Equipo de Computación contra el Ransomware?

La seguridad de la red de salud pública de Bolivia depende de cada terminal de trabajo. Debido a que los sistemas hospitalarios, administrativos y epidemiológicos se encuentran interconectados, la protección de su computadora es la barrera que resguarda la salud de la información de todo el país.

Para blindar su equipo, aplique rigurosamente estas medidas tanto en su establecimiento laboral como en los dispositivos de su hogar:

A. Cuestione el Correo Electrónico antes de Interactuar El correo electrónico y las bandejas de entrada son las principales puertas de acceso para el malware. Antes de abrir cualquier mensaje o descargar un archivo (especialmente documentos de texto o imágenes multimedia .jpg/.png), deténgase y hágase las siguientes preguntas de control:

¿Conozco formalmente al remitente? Verifique detalladamente que la dirección electrónica corresponda a un contacto oficial verificado.
¿Esperaba este mensaje? Desconfíe de correspondencia imprevista, supuestas facturas o memorándums que no formen parte de sus tareas rutinarias.
¿El contenido parece sospechoso? Analice si la redacción es extraña, si tiene errores ortográficos o si proviene de dominios genéricos externos.
¿Solicita acciones urgentes o bajo presión? Las falsas alertas de procesos judiciales o de bloqueo de cuentas buscan forzar un error inmediato a través del miedo.

B. Actualice el Software de Forma Oportuna Las brechas de seguridad en programas desactualizados son utilizadas por los atacantes para ingresar de manera remota a los equipos. Por ello, mantenga siempre al día la infraestructura digital instalando oportunamente:

Actualizaciones del sistema operativo de la terminal de trabajo o de la computadora familiar.
Actualizaciones de las aplicaciones de oficina, visores multimedia y herramientas cotidianas.
Parches de seguridad provistos y autorizados por el equipo de soporte técnico.

C. Blinde sus Accesos con Contraseñas Seguras Los delincuentes utilizan herramientas automatizadas de fuerza bruta para adivinar accesos del personal en redes compartidas. Construya claves robustas y proteja su almacenamiento siguiendo estas directrices institucionales:

Establezca una longitud mayor a 12 caracteres para dificultar el descifrado automático por software.
Combine activamente letras mayúsculas, minúsculas, números y símbolos especiales (#, $, *).
No reutilize contraseñas. Jamás aplique la misma clave de su correo personal para acceder a los sistemas de salud pública del Estado.
Prohíba el guardado de contraseñas en los navegadores: Nunca elija la opción de "Recordar contraseña" en navegadores como Chrome, Firefox, Edge, etc. El uso de extensiones web de procedencia dudosa o maliciosas es uno de los factores más utilizados por los ciberdelincuentes para recolectar y robar credenciales silenciosamente.
Evite el uso de computadoras públicas: Jamás acceda a los sistemas de salud o correos institucionales desde computadoras de cafés internet, hoteles u otros lugares fuera de la oficina o el hogar. Estos equipos públicos suelen estar infectados con virus que registran todo lo que se teclea.
Fomente la lectura preventiva al navegar: Desarrolle el hábito de leer detenidamente cada mensaje, alerta o ventana emergente que aparezca en su pantalla mientras navega por Internet antes de presionar "Aceptar" o "Permitir".

D. Active la Autenticación Multifactor (MFA) La implementación de la autenticación multifactor añade una segunda capa de protección mandatorio en todos los servicios digitales activos, garantizando que un ciberdelincuente no pueda ingresar al sistema hospitalario, del SEDES o de la institución pública aunque haya logrado robar la contraseña. Este mecanismo funciona mediante la generación de un "Token" o código de seguridad temporal y de un único uso, el cual se asocia directamente al teléfono celular del usuario (a través de aplicaciones de autenticación o mensajes) o se envía a su correo electrónico institucional. De esta manera, el sistema exige que el funcionario apruebe activamente el ingreso introduciendo este código digital o presionando una notificación en su pantalla móvil; sin esta validación física y en tiempo real, el acceso se bloquea por completo. A estas alturas de la evolución de las ciberamenazas en la gestión 2026, se debe exigir de forma obligatoria que cualquier sistema informático nuevo que se pretenda implementar o utilizar en el sector salud ya sea en los SEDES o los establecimientos de salud de todo el país cuente de forma nativa con este estándar mínimo de seguridad perimetral, restringiendo la puesta en marcha de toda aplicación clínica, epidemiológica o administrativa que carezca de él.

E. Respalde la Información de Valor Regularmente Las copias de seguridad constituyen la defensa definitiva en caso de que un secuestro criptográfico de valor logre evadir los antivirus. Las políticas de respaldo implementadas en su unidad o dirección deben cumplir tres condiciones estrictas:

Ser periódicas y automatizadas para no perder el avance del trabajo diario.
Verificarse regularmente por el personal responsable para garantizar que los datos guardados sean completamente recuperables.
Mantenerse aisladas (Offline) del sistema principal, de modo que si la red local se infecta, el virus no pueda alcanzar ni encriptar los discos de respaldo.

F. Alerte sobre Actividades Sospechosas La detección temprana frena la propagación lateral del virus en toda la red de salud. Ante cualquier comportamiento anómalo en su equipo, lentitud extrema o duda sobre la legitimidad de un archivo, comuníquese inmediatamente con el personal del Área de Tecnologías de la Información de su hospital, SEDES o institución.

9. Medidas de Prevención en el Trabajo y en el Hogar

La seguridad informática de la red de salud no recae únicamente en las herramientas técnicas instaladas, sino en el comportamiento diario y la cultura preventiva que adopta el personal en cada uno de sus entornos. Las medidas de prevención humanas constituyen la primera línea de defensa activa para evitar que un descuido de oficina o una actividad recreativa familiar pongan en riesgo la continuidad de los servicios de salud del país.

A. Cultura Preventiva en el Entorno Laboral Hospitalario e Institucional En el día a día de un hospital, SEDES o centro de salud, el personal médico, administrativo y de enfermería interactúa constantemente con información sensible, lo que exige una postura de desconfianza digital permanente. Una medida conductual obligatoria es implementar la política de "Escritorio Limpio", la cual prohíbe terminantemente dejar anotadas contraseñas institucionales en papeles, agendas o "post-its" adheridos al monitor de la computadora. Asimismo, se debe adoptar el hábito estricto de bloquear la sesión del sistema operativo (Windows + L) cada vez que el funcionario se levante de su puesto, evitando que pacientes, personal externo o visitas tengan acceso libre a terminales que están conectadas a las bases de datos centrales o a equipamiento médico en red. Por último, se debe restringir el uso de los equipos de computación institucionales para fines personales, como la navegación en redes sociales, la revisión de correos electrónicos privados o la descarga de software no autorizado por el Área de Tecnologías de la Información, minimizando así la superficie de exposición a infecciones accidentales.

B. Concientización y Blindaje en el Entorno Familiar y del Hogar El riesgo informático para el sistema de salud no termina al marcar la salida del hospital; debido al uso compartido de información y dispositivos, el hogar es el puente más utilizado por los ciberdelincuentes para infiltrar redes del Estado. La falta de costumbre cultural para invertir en ciberseguridad doméstica y la ausencia de antivirus licenciados en los domicilios convierten a las computadoras familiares en entornos altamente vulnerables. Es fundamental concienciar a los miembros del hogar sobre los peligros de navegar en portales de procedencia dudosa, tales como páginas de descarga de música, películas piratas o videojuegos, ya que estos sitios son los principales distribuidores de virus sigilosos que se instalan sin dejar rastro. Si el personal de salud realiza tareas de teletrabajo o revisa correspondencia oficial desde su casa, debe asegurarse de que dichos dispositivos familiares cuenten con un nivel de protección básico y establecer perfiles de usuario separados para sus hijos, impidiendo de forma drástica que el uso recreativo de la tecnología en el hogar degrade o destruya la seguridad de la infraestructura sanitaria nacional.

10. Buenas Prácticas para el Manejo de Correos Electrónicos y Archivos Adjuntos

El intercambio de correspondencia digital, reportes epidemiológicos y planillas administrativas constituye una tarea diaria indispensable para la coordinación del sector salud, pero al mismo tiempo representa el vector de ataque más explotado por las mafias cibernéticas para introducir malware. En la realidad operativa de nuestro sistema sanitario, mientras se cuenta con una plataforma de correo institucional protegida, la gran mayoría de los hospitales, SEDES y establecimientos de salud locales dependen del uso de cuentas de correo electrónico personales (como Gmail o Outlook) para cumplir sus funciones cotidianas. Este escenario incrementa exponencialmente los riesgos de seguridad, debido a que las bandejas personales carecen de los filtros técnicos y barreras perimetrales del Estado, dejando expuesto al personal ante tácticas de Phishing.

Para esterilizar las comunicaciones de estas amenazas, el personal de salud debe verificar rigurosamente la identidad del remitente antes de interactuar con cualquier mensaje, inspeccionando minuciosamente la dirección electrónica completa y desconfiando de inmediato de comunicados imprevistos o solicitudes extrañas, incluso si parecen provenir de colegas conocidos, ya que sus cuentas personales de Gmail podrían estar clonadas o comprometidas. Asimismo, se debe evitar taxativamente participar en cadenas de correo electrónico, ya sean de carácter informativo, religioso, de entretenimiento o de alertas falsas; si algún remitente lo incorpora en una de estas cadenas, la instrucción obligatoria es clasificar el mensaje inmediatamente como Spam o correo no deseado, puesto que este medio carece por completo de control técnico, no se puede garantizar si las cuentas que integran la lista están activas o infectadas, y representa la herramienta perfecta utilizada por los ciberdelincuentes para recolectar direcciones válidas y dirigir campañas masivas de virus destructivos. De igual manera, se debe desconfiar de aquellos correos que utilicen un sentido de urgencia psicológica o generen falsas alarmas, tales como requerimientos judiciales ficticios o advertencias de bloqueo de cuentas, diseñados explícitamente para forzar un error humano a través del miedo. Finalmente, el personal debe revisar con extrema cautela todo archivo adjunto, considerando que los atacantes han evolucionado de forma drástica y ya no solo ocultan malware en formatos comprimidos tradicionales (.zip, .rar) o documentos de Office con macros; en la actualidad, camuflan el Ransomware dentro de archivos de imagen comunes (.png, .jpg) o archivos multimedia, los cuales ejecutan el código dañino de forma silenciosa en segundo plano al ser visualizados en las computadoras del hospital o establecimiento.

Infografía 3: Higiene en Correos

Cuentas Personales: Vulnerabilidad extrema por flujos clínicos en cuentas privadas de Gmail/Outlook sin firewalls estatales.

Filtro Spam: Mandato conductual obligatorio ante cadenas para bloquear redes masivas de captura.

11. Uso Seguro de Memorias USB y Dispositivos Externos

Las memorias USB y los discos duros externos actúan como herramientas cotidianas para trasladar reportes o información clínica, pero representan un altísimo riesgo biológico-digital al introducir malware de forma física directamente tras los perímetros de seguridad del hospital o establecimiento. Las incidencias demuestran que el principal peligro radica en el "puente del hogar a la oficina": los pendrives personales de los funcionarios se contaminan silenciosamente en sus domicilios particulares debido a que en los hogares no se tiene la costumbre de invertir en seguridad informática ni se cuenta con antivirus licenciados. Al trasladar e insertar ese mismo dispositivo en las computadoras de la institución para copiar un archivo o imprimir un documento, el virus salta de inmediato al ecosistema informático del Estado.

Para mitigar este vector, queda terminantemente prohibido conectar memorias USB de procedencia desconocida, encontradas en pasillos o áreas comunes del hospital, ya que suelen ser sembradas deliberadamente por atacantes; todo dispositivo de almacenamiento externo de uso institucional debe ser escaneado de forma obligatoria por el software antivirus de la terminal antes de abrir cualquiera de sus archivos, adoptando una conducta estricta de higiene digital.

12. Copias de Seguridad: La Mejor Defensa ante el Ransomware

Cuando un secuestro criptográfico avanzado logra evadir las barreras perimetrales y los sistemas antivirus, la política de copias de seguridad (Backups) se transforma en la última línea de defensa institucional y en el único mecanismo real para recuperar la operatividad sin ceder a la extorsión financiera de los criminales.

Para que un respaldo sea verdaderamente efectivo en un hospital, SEDES o centro de salud, la información crítica de valor como planillas administrativas, reportes de vacunación y bases de datos epidemiológicas debe respaldarse de manera periódica y automatizada, evitando la dependencia de la memoria del usuario y resguardando el avance diario de la gestión pública.

Sin embargo, la regla de oro para neutralizar un ataque radica en el aislamiento físico de los datos: los respaldos deben mantenerse estrictamente desconectados de la red principal (Offline) una vez concluidos, ya que si un disco duro de respaldo permanece permanentemente enlazado al servidor o computadora infectada, el Ransomware lo detectará durante su fase de propagación lateral y lo encriptará junto con los sistemas de producción, destruyendo toda posibilidad de recuperación institucional.

13. ¿Qué Hacer ante un Posible Ataque de Ransomware?

La velocidad de reacción del personal ante los primeros síntomas de una infección (como la ralentización extrema del equipo, la alteración de iconos o la aparición de archivos con extensiones extrañas) es el factor determinante para contener el virus y salvar la infraestructura del hospital, SEDES o Ministerio. Ante la sospecha mínima de un ataque en curso, el funcionario debe ejecutar de forma inmediata el siguiente protocolo de emergencia:

Desconecte el equipo de la red: Aísle la computadora de forma física e inmediata. Si utiliza una conexión por cable, desenchufe el cable de red (Ethernet) de la parte posterior del equipo; si está conectado mediante Wi-Fi, desactive la conexión inalámbrica desde la barra de tareas o apague el interruptor de red del dispositivo. Esta acción rompe instantáneamente la "Fase de Propagación Lateral" del Ransomware, impidiendo que el virus salte hacia los servidores centrales, bases de datos o el equipamiento médico conectado en red.
Informe inmediatamente a TI: Comuníquese de urgencia con el Área de Tecnologías de la Información de su establecimiento, hospital o SEDES. Reporte el incidente de forma directa sin importar la hora o el día, entendiendo que cada minuto que el malware opera sin contención técnica multiplica los daños en la infraestructura sanitaria pública.
Registrar lo observado: Anote minuciosamente los detalles visibles del incidente mientras espera la llegada del personal de soporte técnico. Registre qué aplicaciones o archivos específicos mostraron el error, si apareció alguna ventana emergente extraña y apunte de forma exacta el nombre de la extensión maliciosa que se agregó a sus documentos o el mensaje que visualiza en la pantalla.
Seguir las instrucciones del personal técnico: Acatar de forma estricta y disciplinada cada una de las directrices emitidas por los encargados de sistemas informáticos. El personal de salud y administrativo debe ponerse a disposición del Área de TI para facilitar el aislamiento de los equipos y colaborar con las tareas institucionales de mitigación.

14. Acciones que NO Deben Realizarse

En medio de una crisis informática, la desesperación o el desconocimiento pueden llevar a cometer errores operativos que agraven la situación, destruyan la evidencia forense o aceleren la destrucción de los datos del hospital o institución. Bajo ninguna circunstancia el personal debe incurrir en las siguientes conductas de alto riesgo:

No apague ni encienda repetidamente el equipo: Evite reiniciar la computadora infectada pensando que así se solucionará el problema. Apagar de forma incorrecta o reiniciar el sistema operativo puede activar rutinas ocultas del Ransomware que aceleran el cifrado de archivos, o peor aún, puede corromper la memoria RAM del equipo, eliminando pistas forenses críticas que el personal de TI necesita para identificar la cepa del virus y buscar una solución.
No pagar el rescate: Rechace cualquier intento de negociación o pago económico exigido en las notas de secuestro. Las instituciones públicas del Estado Plurinacional de Bolivia tienen prohibido financiar actividades delictivas; además, el pago no garantiza en absoluto que los criminales entreguen la clave de descifrado, y solo sirve para financiar a las mafias cibernéticas, convirtiendo al hospital o establecimiento en un blanco permanente de futuros ataques.
No conectar dispositivos USB u otros medios: Prohíba la inserción de memorias USB, discos duros externos o teléfonos móviles a la computadora afectada con la intención de "salvar" o copiar los archivos que aún no han sido encriptados. El Ransomware tiene una velocidad de infección imperceptible y lo primero que hará será saltar y secuestrar el dispositivo USB que acaba de conectar, destruyendo sus respaldos personales e incrementando el riesgo de propagación física hacia otros equipos sanos.
No intentar ocultar el incidente: Elimine el miedo a las represalias administrativas y jamás intente ocultar o callar el problema. Tratar de resolver la infección por cuenta propia o ignorar las alertas de la pantalla por temor a sanciones solo le otorga tiempo vital al Ransomware para expandirse silenciosamente por toda la red de salud nacional, transformando un incidente local controlable en una catástrofe sanitaria irreversible.

Infografía 4: Respuestas de Contingencia

✓ EXIGIDO: Desconectar cable Ethernet/Wi-Fi local, reportar a sistemas y guardar bitácoras visuales.

❌ PROHIBIDO: No encender/apagar de forma cíclica, rechazar pagos y no conectar memorias USB de rescate.

15. Autoevaluación de Conocimientos

Mida su nivel de preparación y concientización frente a la amenaza del Ransomware completando este breve cuestionario interactivo. Evalúe sus hábitos digitales y recuerde que en el sistema nacional de salud, sus decisiones protegen la información de todos.

1. Usted recibe un correo electrónico que parece provenir de un colega de otro hospital desde una cuenta de Gmail personal, el cual contiene una imagen adjunta con el nombre "reporte_urgente.jpg" para su revisión inmediata. ¿Cuál es la acción correcta?

A) Abrir la imagen de inmediato para no retrasar la gestión hospitalaria, confiando en que es un formato seguro de fotografía. B) VERIFICAR la identidad del remitente por otro medio antes de abrir el archivo, considerando que las cuentas personales carecen de filtros institucionales y que los ciberdelincuentes ocultan código malicioso en imágenes (.png o .jpg). C) Reenviar el correo a otros compañeros de su unidad para consultarles si ellos también lo recibieron.

2. Se percata de que la computadora de su consultorio, área administrativa o laboratorio empieza a funcionar con una lentitud extrema inexplicable y algunos archivos locales han cambiado sus iconos por extensiones extrañas como ".locked". ¿Qué debe hacer primero?

A) Apagar y encender repetidamente el equipo para verificar si el sistema se normaliza por sí solo. B) Conectar una memoria USB para copiar rápidamente sus planillas y archivos más valiosos antes de que se dañen. C) DESCONECTAR inmediatamente el cable de red (Ethernet) o apagar el Wi-Fi de la computadora para aislarla físicamente, rompiendo la fase de propagación lateral hacia los servidores centrales o equipamiento médico, y reportar el caso de urgencia al Área de TI.

3. Respecto al uso de contraseñas y accesos en los establecimientos de salud, ¿cuál de las siguientes afirmaciones describe una práctica estrictamente prohibida?

A) Guardar las credenciales mediante la opción "Recordar contraseña" en navegadores como Chrome o Firefox, debido al riesgo latente de extensiones maliciosas destinadas a recolectar datos. B) Participar en cadenas de correo masivas y acceder a plataformas de salud pública desde computadoras de cafés internet o redes públicas desprotegidas. C) Tanto la opción A como la opción B son prácticas prohibidas de alto riesgo que degradan la seguridad informática institucional.

4. ¿Cuál es la regla de oro indispensable para que una copia de seguridad (Backup) sea verdaderamente efectiva y sirva como escudo definitivo ante el Ransomware?

A) Almacenar los respaldos en el mismo disco local (D:) de la computadora de trabajo sin ningún tipo de restricción. B) Mantener las copias de seguridad estrictamente desconectadas de la red principal (Offline) una vez concluidas, evitando que el virus las detecte y encripte durante su fase de propagación lateral. C) Realizar los respaldos únicamente una vez al año para no saturar el almacenamiento de los servidores del hospital.

5. Usted necesita ingresar al sistema de salud para remitir un informe urgente fuera de su horario de oficina y no se encuentra en su domicilio. ¿Qué acción representa el menor riesgo para la institución?

A) Entrar rápidamente desde una computadora de un café internet público, asegurándose de cerrar la sesión al finalizar. B) Esperar a estar en un entorno seguro (Oficina u Hogar protegido con antivirus) y navegar prestando atención a cada mensaje o alerta emergente que emita el sistema antes de aceptar. C) Usar la computadora pública de la recepción de un hotel y permitir que el navegador Chrome recuerde la contraseña para terminar más rápido.

6. ¿Cómo funciona el Doble Factor de Autenticación (2FA / MFA) y por qué se exige obligatoriamente su incorporación en los nuevos sistemas de salud?

A) Es un sistema que duplica la contraseña del usuario para que sea más larga y difícil de adivinar por los atacantes en un ataque de fuerza bruta. B) Es una segunda capa de protección que genera un "Token" temporal enviado al celular o al correo para aprobar el acceso en tiempo real; se exige en todo sistema nuevo porque bloquea el ingreso del criminal aunque este haya robado la contraseña. C) Es un programa automático que elimina de forma inmediata los correos catalogados como cadenas o Spam en las bandejas personales de los médicos.

16. Conclusiones

La ciberseguridad se ha consolidado como un pilar fundamental e indispensable de la atención sanitaria moderna en todo el Estado Plurinacional de Bolivia. El Ransomware ha dejado de ser un simple problema técnico o administrativo exclusivo de las áreas de informática; en la gestión actual, representa una amenaza crítica directa contra la continuidad de los servicios de salud y la seguridad de la población. La parálisis de los sistemas de información o del equipamiento médico de alta complejidad conectado a la red puede comprometer de forma inmediata diagnósticos y tratamientos esenciales, demostrando que proteger los datos y la infraestructura tecnológica es equivalente a resguardar la vida misma de los pacientes.

El factor humano constituye la primera y más importante línea de defensa activa dentro de la cadena de contención frente al cibercrimen. Ninguna inversión económica en infraestructura digital, firewalls de última generación o sistemas antivirus con licencia será completamente efectiva si el personal administrativo, médico y de enfermería de los SEDES y los hospitales de todos los niveles no adopta una cultura de higiene digital estricta. Evitar de forma taxativa la participación en cadenas de correo masivas, prohibir por completo el almacenamiento de claves en navegadores web, restringir el uso de memorias USB contaminadas en entornos familiares y desarrollar el hábito de leer minuciosamente cada alerta al navegar por internet son las acciones conductuales que verdaderamente cierran las ventanas de acceso a los atacantes.

La resiliencia y soberanía institucional del sistema nacional de salud radican en la capacidad de prevención, detección temprana y el aislamiento físico oportuno de los activos tecnológicos. La contención de una catástrofe informática y la protección del equipamiento biomédico dependen enteramente de la velocidad de reacción individual del funcionario ante los primeros síntomas de una infección en su terminal. Desconectar físicamente el equipo de la red y mantener políticas rigurosas de copias de seguridad completamente aisladas y fuera de línea (Offline) garantizan que el sector salud pueda resistir un ataque, salvaguardar el patrimonio documental del Estado y restaurar sus operaciones críticas sin ceder jamás ante la extorsión financiera de las mafias internacionales del secuestro digital.