Ciberataques en hospitales: cuando el código mata y la ley guarda silencio
Por Osvaldo Hernández Olivera
Abogado en Derecho Informático | Especialista en Tecnología y Futuro
En septiembre de 2020, el hospital universitario de Düsseldorf fue blanco de un ataque de ransomware. Los sistemas colapsaron, la tecnología se congeló y una paciente en estado crítico tuvo que ser trasladada a un centro médico distante. Murió en el trayecto. Aquel evento no fue una trama de ficción distópica, sino la primera muerte documentada derivada directamente de un ciberataque. En Alemania, el debate jurídico sobre la responsabilidad penal ante esta tragedia se encendió de inmediato. En México, mientras tanto, el silencio sigue siendo nuestra única respuesta.
El IMSS y la vulnerabilidad invisible
Durante 2021 y 2023, la infraestructura digital del IMSS sufrió intrusiones cuyos detalles han sido, bajo el habitual sello institucional, escasos. Sabemos de interrupciones en expedientes clínicos, en el agendamiento de citas y en plataformas de diagnóstico, pero no conocemos el impacto real en los pacientes. No existen cifras públicas sobre la afectación directa a la salud de los derechohabientes, ni investigaciones penales de alto perfil que hayan culminado con responsables tras las rejas.
Esta impunidad no es una simple ineficiencia administrativa; es la consecuencia de un marco penal que sigue viendo el ransomware como un delito técnico —frío, abstracto y centrado en los equipos—, ignorando que, en un hospital, el ciberdelito es una interrupción violenta del derecho a la vida.
Un Código Penal anclado en el siglo pasado
El Título Noveno del Código Penal Federal tipifica el acceso ilícito y la alteración de datos. Aunque contempla agravantes para ataques a infraestructura estratégica, estas letras siguen siendo, en la práctica, papel mojado. Nunca han llegado a un juicio oral que confronte la realidad de un ciberataque contra la salud pública.
El problema es de fondo: nuestro sistema jurídico no logra conectar el daño digital con el daño físico. Si un ransomware bloquea los ventiladores de una Unidad de Cuidados Intensivos o detiene la dispensación automatizada de medicamentos, ¿bajo qué premisa juzgamos? ¿Bajo un simple «acceso ilícito»? La ley actual no lo contempla, y en derecho penal, esa ambigüedad es el refugio perfecto para los agresores.
El cambio necesario: más allá de lo técnico
No pedimos reformas utópicas, sino un realismo jurídico urgente. El Código Penal Federal debe reconocer explícitamente que la interferencia informática en sistemas de soporte vital y gestión hospitalaria constituye una forma directa de poner en riesgo la integridad física de las personas. Cuando ese riesgo se materializa en una muerte, el delito debe clasificarse con la gravedad que le corresponde, abandonando la etiqueta de «delito informático agravado» para llamarlo por su verdadero nombre.
Mientras Europa y el Reino Unido integran la ciberseguridad hospitalaria como una partida presupuestal vital —casi tanto como los insumos médicos—, México sigue tratando la ciberseguridad como un problema de «sistemas». Estamos ante una brecha enorme entre el derecho que tenemos y el derecho que necesitamos para proteger a los pacientes.
El riesgo es claro: alguien pagará con su vida la falta de actualización de nuestro Congreso. La pregunta no es si ocurrirá una tragedia así en México, sino cuándo, y si para entonces, nuestra ley estará finalmente lista para entender que cuando un sistema hospitalario cae, lo que se desploma es la vida humana.
