604 942 559info@ioniasecurity.es
Partner Oficial Fortinet
Solicitar Presupuesto
Solicitar Presupuesto
Ciberseguridad Sanitaria

Phishing a Personal Sanitario: Formación, Simulaciones y Resultados

Publicado el 13 de febrero de 2026 por Ionia Security

Por qué el personal sanitario es objetivo del phishing

Los profesionales sanitarios trabajan bajo presión, con turnos largos y múltiples sistemas informáticos. Los ciberdelincuentes lo saben y diseñan emails que imitan comunicaciones internas del hospital, alertas de sistemas clínicos o notificaciones de laboratorio.

Tipos de phishing más comunes en sanidad

  • Suplantación de proveedor clínico: Emails que simulan ser de proveedores de material sanitario, reactivos o farmacéuticas solicitando cambios de datos bancarios.
  • Alertas falsas de sistemas HIS: Notificaciones que aparentan venir del sistema de historia clínica pidiendo credenciales.
  • Spear phishing a dirección médica: Ataques dirigidos a directivos con información personalizada obtenida de redes sociales profesionales.
  • Phishing vía SMS (smishing): Mensajes de texto que simulan ser del departamento de IT o de la administración del centro.

Programa de formación y simulaciones

Fase 1: Evaluación inicial (Mes 1)

Lanzar una campaña de phishing simulado sin previo aviso para medir la tasa de click actual. El promedio en sanidad es del 35-40% en la primera simulación.

Fase 2: Formación adaptada (Mes 2-3)

Sesiones de 20 minutos adaptadas a cada perfil: médicos, enfermería, administrativos y técnicos. Ejemplos reales del sector sanitario, no genéricos.

Fase 3: Simulaciones recurrentes (Mes 4+)

Campañas mensuales con escenarios cada vez más sofisticados. Feedback inmediato cuando alguien cae en la simulación, con micro-formación de 3 minutos.

Resultados esperados

  • Reducción del 75% en la tasa de click en phishing tras 6 meses de programa
  • Incremento del 300% en reportes de emails sospechosos por parte del personal
  • Reducción del tiempo medio de detección de ataques reales
  • Cumplimiento con los requisitos de formación del ENS y RGPD

Conclusión

La formación anti-phishing no es un evento puntual, es un proceso continuo. En el sector sanitario, donde un click puede comprometer datos de miles de pacientes, invertir en concienciación es tan importante como invertir en tecnología.

Fuentes y Referencias

  1. Verizon Data Breach Investigations Report 2023
  2. KnowBe4 Phishing by Industry Benchmarking Report 2023
  3. ENISA Threat Landscape: Health Sector 2023
  4. Proofpoint Cyber Insecurity in Healthcare 2023

¿Necesitas proteger tu centro sanitario?

Solicita un assessment de ciberseguridad sanitaria gratuito. Analizamos tu situacion y te entregamos un plan de mejora en 48 horas.

Assessment sanitario gratis