Ciberseguridad para clínicas dentales: ayudas y medidas 2026

·

Una clínica dental maneja historiales clínicos, radiografías, datos de tarjetas y números de seguridad social. Todo ello es dato de categoría especial según el Reglamento General de Protección de Datos (RGPD), lo que eleva automáticamente el nivel de exigencia en materia de seguridad. Un incidente de ransomware o una filtración no solo paraliza la agenda: puede acarrear multas de hasta 20 millones de euros o el 4 % de la facturación global anual, según el artículo 83.5 del RGPD. Y, sin embargo, la mayoría de clínicas dentales en España siguen operando con medidas de seguridad diseñadas para otra época.

Esta guía responde con precisión qué medidas son obligatorias, cuáles son recomendadas por el INCIBE para el sector salud y cómo el programa Kit Digital permite financiarlas sin desembolso inmediato si tu clínica es elegible.

Por qué las clínicas dentales son objetivo preferente del cibercrimen

Los datos odontológicos combinan información sanitaria, financiera e identificativa en un único expediente. Según el informe State of Ransomware in Healthcare 2025 de Sophos, el sector sanitario fue el más atacado por ransomware en Europa durante 2024, con un tiempo medio de recuperación de 17 días y un coste promedio superior a los 1,6 millones de euros por incidente (sumando rescate, restauración y lucro cesante).

Las clínicas dentales presentan una superficie de ataque específica:

Marco normativo obligatorio para clínicas dentales en España

Antes de hablar de soluciones técnicas conviene conocer las obligaciones legales vigentes. No cumplirlas no es solo un riesgo de sanción: ante un incidente, la ausencia de medidas documentadas agrava la responsabilidad de la clínica.

RGPD y Ley Orgánica 3/2018 (LOPDGDD)

El tratamiento de datos de salud está sujeto al artículo 9 del RGPD, que exige base jurídica explícita (consentimiento expreso o relación asistencial) y medidas de seguridad técnicas y organizativas acordes con el riesgo. La AEPD, en su guía para el sector sanitario publicada en 2023, establece que las clínicas deben realizar una Evaluación de Impacto en Protección de Datos (EIPD) cuando el tratamiento sea sistemático a gran escala, y que deben disponer de un Registro de Actividades de Tratamiento (RAT) actualizado como obligación básica.

Real Decreto-ley de transposición NIS2 (Directiva UE 2022/2555)

La Directiva NIS2, cuya transposición en España se está completando mediante el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado en Consejo de Ministros en enero de 2025 y en tramitación parlamentaria en 2026), incluye a los proveedores de servicios sanitarios en su alcance. Las clínicas que superen los 50 empleados o 10 millones de euros de facturación quedan sujetas a obligaciones específicas de gestión de incidentes y notificación al INCIBE-CERT en menos de 24 horas para incidentes significativos.

Código de Conducta del Consejo General de Dentistas

El Consejo General de Dentistas de España cuenta con un Código de Conducta en materia de Protección de Datos dirigido a sus colegiados. Su adopción no es obligatoria, pero proporciona una hoja de ruta de cumplimiento reconocida por el sector y puede usarse como demostración de diligencia ante la autoridad de control.

Medidas mínimas exigibles: qué debes tener ya implantado

La siguiente tabla resume las medidas técnicas y organizativas que el INCIBE y la AEPD consideran imprescindibles para una clínica dental con tratamiento de datos de salud, ordenadas por nivel de urgencia:

Medida Nivel de exigencia Fundamento normativo Estado más habitual en clínicas
Copias de seguridad cifradas y verificadas (regla 3-2-1) Obligatorio RGPD art. 32; guía AEPD seguridad sanitaria Solo backup local, sin verificar
Antivirus/EDR gestionado en todos los equipos Obligatorio RGPD art. 32; INCIBE guía sector salud 2024 Antivirus de consumo, sin gestión central
Parches y actualizaciones de software dental y SO Obligatorio RGPD art. 32; NIS2 art. 21 Actualizaciones manuales o ignoradas
Segmentación de red (clínica / pacientes / administración) Muy recomendado INCIBE; Código Conducta CGD Red plana única para todos los dispositivos
Autenticación multifactor (MFA) en accesos remotos y correo Muy recomendado NIS2 art. 21; INCIBE Solo usuario y contraseña
Cifrado de historiales en reposo y en tránsito Obligatorio (datos categoría especial) RGPD art. 9 y 32 Sin cifrado o solo HTTPS en web
Registro de actividades de tratamiento (RAT) Obligatorio RGPD art. 30; LOPDGDD arts. 48-49 Inexistente o desactualizado
Protocolo de respuesta a incidentes y notificación a AEPD Obligatorio RGPD art. 33-34 Sin protocolo documentado
Formación de personal en phishing y manipulación social Muy recomendado RGPD art. 32; Código Conducta CGD Sin formación específica
Control de acceso basado en roles (quién ve qué expediente) Obligatorio RGPD principio de minimización; art. 32 Acceso total a todos los empleados

Vectores de ataque específicos del sector dental: los más frecuentes en 2025

El INCIBE publicó en su Balance de Ciberseguridad 2024 los principales vectores de incidente en el sector salud en España. Para clínicas dentales, los más relevantes son:

Ransomware a través del software de gestión dental

Los programas de gestión dental (Gesden, Clinicsoft, Denwix, entre otros) se comunican frecuentemente con servidores del fabricante para actualizaciones y soporte remoto. Si esa conexión no está controlada, cualquier vulnerabilidad no parcheada en el software o en el servidor del fabricante se convierte en una puerta de entrada. En 2024 se registraron varios incidentes en España en los que el vector inicial fue precisamente el cliente de actualización del software clínico.

Correo electrónico como vector de entrada (phishing y BEC)

El personal administrativo de la clínica recibe presupuestos, facturas y solicitudes de proveedores de material dental. Los ataques de Business Email Compromise (BEC) suplantan a proveedores conocidos para desviar pagos o instalar malware mediante adjuntos de Word o PDF con macros. Es el vector más sencillo y más utilizado porque no requiere vulnerabilidades técnicas: basta con que un empleado abra el archivo.

Dispositivos de imagen sin actualizar

Los equipos de radiología digital utilizan sistemas operativos embebidos que raramente reciben actualizaciones de seguridad. Muchos de estos dispositivos corren sobre Windows 7 o Windows XP en sistemas de imagen que el fabricante no ha migrado. Al estar conectados a la red local, actúan como pivote para moverse lateralmente hacia el servidor de historiales.

Ayudas disponibles: Kit Digital para ciberseguridad en clínicas dentales

El programa Kit Digital, financiado con fondos Next Generation EU y gestionado por Red.es, contempla expresamente la categoría Ciberseguridad como solución subvencionable. En 2025 y 2026, las clínicas dentales que operen como autónomo, microempresa (menos de 10 empleados) o pequeña empresa (10-49 empleados) pueden acceder a los siguientes importes:

La solución de ciberseguridad subvencionable bajo Kit Digital debe incluir, como mínimo: antimalware, antispyware, control de correo spam, navegación segura, análisis y detección de amenazas y monitorización de la red. El plazo de justificación habitual es de 12 meses desde la firma del acuerdo con el Agente Digitalizador.

Si quieres conocer en detalle cómo tramitar esta ayuda y qué incluye el servicio, puedes consultar nuestra página de ciberseguridad para pymes con ayudas Kit Digital, donde detallamos el proceso completo desde el diagnóstico inicial hasta la justificación ante Red.es.

Requisitos de elegibilidad para la clínica

Para acceder al Kit Digital, la clínica debe cumplir los siguientes requisitos en el momento de la solicitud:

Kit Consulting: diagnóstico previo financiado

Complementario al Kit Digital, el programa Kit Consulting (también gestionado por Red.es) permite contratar un diagnóstico tecnológico con un consultor acreditado por importes de hasta 12.000 € (10-49 empleados), 18.000 € (50-99) o 24.000 € (100-249 empleados). Este diagnóstico puede incluir la evaluación de la postura de ciberseguridad de la clínica y la elaboración del plan de adecuación al RGPD sanitario, lo que permite abordar la inversión con una hoja de ruta documentada antes de ejecutar ningún gasto.

Qué debe incluir un proyecto de ciberseguridad para una clínica dental

Un proyecto bien dimensionado para una clínica dental de entre 5 y 20 empleados tiene cuatro bloques diferenciados:

1. Diagnóstico y análisis de riesgos

Inventario de todos los activos que tratan datos de pacientes (software de gestión, equipos de imagen, terminales, correo), análisis de los riesgos reales —no teóricos— y clasificación por probabilidad e impacto. Sin este paso, cualquier inversión en herramientas puede ir en la dirección equivocada.

2. Protección técnica

Implantación de EDR (Endpoint Detection and Response) gestionado, configuración de firewall de nueva generación con inspección del tráfico saliente, segmentación de la red, MFA en el correo y accesos remotos, y cifrado de la base de datos de historiales. La protección técnica es la que cubre directamente los requisitos del Kit Digital.

3. Backup verificado y plan de recuperación

Las copias de seguridad deben seguir la regla 3-2-1: tres copias, en dos soportes diferentes, una fuera de la clínica (nube o ubicación alternativa). Y lo más importante: deben probarse periódicamente. Un backup que nunca se ha restaurado no existe. El plan de recuperación debe establecer el RTO (tiempo máximo de recuperación) y el RPO (pérdida máxima de datos tolerable) aceptables para la clínica.

4. Documentación legal y formación

RAT actualizado, contratos con encargados del tratamiento (el proveedor del software de gestión, el gestor de la nube, el servicio de mantenimiento informático), procedimiento de notificación de brechas a la AEPD en 72 horas y formación del personal en reconocimiento de phishing. Esta última parte es imprescindible: la gran mayoría de las brechas de datos en el sector sanitario incluyen el factor humano como elemento coadyuvante, según sucesivas ediciones del informe DBIR de Verizon.

Desde Summum Sistemas gestionamos proyectos de ciberseguridad con financiación Kit Digital para clínicas del sector sanitario, incluyendo la tramitación completa de la ayuda ante Red.es y la coordinación con el DPO cuando el proyecto requiere adecuación al RGPD sanitario.

Preguntas frecuentes

¿Una clínica dental con dos empleados está obligada a cumplir el RGPD de la misma forma que una gran clínica?

Sí, en cuanto al fondo de las obligaciones: el RGPD no establece umbrales mínimos de tamaño para las obligaciones de seguridad cuando se tratan datos de salud. Lo que sí varía es la proporcionalidad de las medidas: una clínica unipersonal no necesita un CISO a tiempo completo, pero sí debe tener copias de seguridad cifradas, accesos controlados, contratos firmados con sus proveedores tecnológicos y un procedimiento para notificar brechas a la AEPD. La AEPD tiene en cuenta el tamaño de la organización al valorar sanciones, pero no exime del cumplimiento básico.

¿El Kit Digital cubre el coste del DPO externo o solo las herramientas técnicas?

El Kit Digital en su categoría de Ciberseguridad financia exclusivamente soluciones tecnológicas (antimalware, monitorización, filtrado web, etc.), no los servicios de consultoría legal ni la figura del DPO. Para financiar la consultoría de adecuación al RGPD y la designación del DPO, el instrumento adecuado es el Kit Consulting, que cubre servicios de asesoramiento con consultores acreditados. Si tu clínica necesita también DPO externo, puedes consultarlo con el equipo de Summum Consultoría, que se ocupa de la parte legal y de protección de datos del sector sanitario.

¿Cuánto tiempo dura el proceso de implantación de ciberseguridad con Kit Digital?

El proceso tiene dos fases temporales diferenciadas. La tramitación de la ayuda —desde la solicitud en acelera.pyme.es hasta la firma del acuerdo con el Agente Digitalizador— puede durar entre cuatro y ocho semanas, dependiendo del volumen de solicitudes en cada convocatoria. La implantación técnica en una clínica de tamaño habitual (5-15 equipos) se completa normalmente en dos a cuatro semanas. Los doce meses de justificación posterior cubren el periodo de mantenimiento activo de la solución, durante el cual el Agente Digitalizador debe prestar el servicio comprometido.

¿Qué pasa si la clínica sufre un ataque antes de implantar las medidas?

La obligación de notificar a la AEPD una brecha de datos que afecte a datos de salud existe independientemente del estado de madurez en ciberseguridad de la clínica. El plazo es de 72 horas desde que se tiene conocimiento del incidente (RGPD art. 33). Si la brecha puede suponer un alto riesgo para los derechos de los pacientes, también hay que notificarles directamente a ellos (art. 34). La ausencia de medidas previas no exime de notificar; al contrario, es un agravante en la valoración de la infracción por parte de la AEPD. Lo más urgente tras detectar un incidente es contenerlo, documentarlo y notificarlo: el orden importa.