Filtración de datos en software para psicólogos: protégete
Una brecha de datos en una consulta de psicología expuso más de un millón de notas clínicas en 2026. Qué pasó y cómo saber si tu software te protege.

En marzo de 2026 ocurrió algo que muchos psicólogos temían en silencio: una filtración de datos en una plataforma de gestión de nuestro propio sector. Un atacante publicó en un foro de brechas datos de pacientes de un software para psicólogos y pidió un rescate a cambio de no difundirlos. No es un caso hipotético de un manual de ciberseguridad ni un ataque a un banco lejano: es exactamente el tipo de herramienta que miles de profesionales usan cada día para guardar las notas de sus sesiones.
Este artículo no busca alarmar, sino lo contrario: explicar con rigor qué se sabe y qué no se sabe de ese incidente, por qué los datos de salud mental son el peor objetivo posible y, sobre todo, darte un checklist accionable para responder a una pregunta muy concreta: ¿te protegería tu software si algo así te pasara a ti?
Para datos de salud mental, la pregunta correcta no es "¿me puede pasar?", sino "si me pasa, ¿qué se llevarían realmente?".
Qué se sabe del caso (con rigor)
Vamos a ceñirnos a lo verificable. Según la información publicada por Escudo Digital, una plataforma de gestión para psicólogos —que aquí no nombramos deliberadamente, porque el objetivo es aprender del incidente, no señalar— sufrió la exfiltración pública de datos de pacientes, anunciada en un foro de brechas por un atacante.
Estos son los datos concretos que recoge la fuente:
| Dato del incidente | Cifra publicada |
|---|---|
| Notas clínicas en la muestra publicada | ~1.146.700 |
| Datos de identificación personal | 601.308 |
| Rescate exigido por el atacante | 300.000 dólares |
| Usuarios afectados (según la empresa) | ~5% |
| Profesionales activos en la plataforma | Más de 10.000 |
| Notificación a la autoridad | La empresa declaró haberlo comunicado a la AEPD |
Fuente: Escudo Digital. Las cifras corresponden a lo publicado sobre la muestra difundida por el atacante y a las declaraciones de la empresa.
Que quede clara la magnitud: hablamos de más de un millón de notas clínicas en la muestra difundida. No es un correo electrónico ni una lista de contactos. Son los apuntes de lo que las personas cuentan en la intimidad de una consulta.
Qué NO se sabe (y por qué es importante decirlo)
Aquí es donde la honestidad importa más que el titular. La fuente pública no especifica cómo ocurrió técnicamente el incidente, ni si los datos estaban cifrados o no. Por tanto, nosotros tampoco lo vamos a afirmar.
No sabemos si fue un fallo de configuración, unas credenciales robadas, una vulnerabilidad en el software o cualquier otra vía. Y no sabemos en qué estado estaban los datos exfiltrados. Cualquiera que te diga con seguridad "estaban sin cifrar" está rellenando huecos que la fuente no confirma. Nosotros no vamos a hacer eso.
Lo que sí podemos hacer es una reflexión de fondo, aplicable a cualquier brecha de datos: lo que un atacante consigue leer de una base de datos robada depende de si el contenido está cifrado de una forma que él no pueda descifrar. No es una afirmación sobre este caso concreto; es el principio técnico que separa un susto de una catástrofe. Lo desarrollamos en nuestra guía sobre cifrado de extremo a extremo en software para psicólogos.
Por qué los datos de salud mental son el peor objetivo
La Agencia Española de Protección de Datos lo enmarca sin ambigüedad: los datos de salud son categoría especial según el artículo 9 del RGPD, y merecen la máxima protección. Dentro de esa categoría, los de salud mental están entre los más delicados que existen.
Hay tres razones que convierten una consulta de psicología en un objetivo especialmente valioso —y una filtración en un daño especialmente grave:
- No se pueden cambiar. Una contraseña filtrada se cambia en un minuto. Un diagnóstico, el contenido de una terapia o las circunstancias íntimas de una persona, no. Una vez fuera, están fuera para siempre.
- El chantaje es directo. La propia AEPD advierte de que, en salud, el ransomware ya no se limita a bloquear los sistemas: habitualmente exfiltra los datos para presionar con su publicación. El caso de marzo de 2026, con un rescate económico de por medio, encaja en ese patrón.
- La responsabilidad recae en el profesional. El psicólogo es responsable del tratamiento de los datos de sus pacientes. La elección del software no es un detalle técnico delegable: forma parte de tu deber de proteger esa información. Sobre quién es dueño de esos datos y cómo recuperarlos hablamos en de quién son los datos de tus pacientes.
Y las consecuencias tienen un marco legal concreto. El RGPD contempla sanciones de hasta 20 millones de euros o el 4% de la facturación anual global, la cifra que resulte mayor. Pero la multa suele ser lo de menos frente a la pérdida de confianza de los pacientes.
Qué determina el daño real de una brecha
Aquí está el punto que casi nadie te explica cuando contratas tu software. Ante una brecha, el volumen de datos robados importa, pero lo que de verdad decide si es un incidente manejable o una crisis es qué puede leer el atacante de lo que se ha llevado.
- Si el contenido clínico se almacena de forma que el proveedor puede leerlo, cualquiera que acceda a esa base de datos también puede. HTTPS no cambia esto: protege los datos mientras viajan, no una vez guardados. Lo explicamos en detalle en por qué HTTPS no basta.
- Si el contenido está cifrado de extremo a extremo (E2EE) —cifrado en tu dispositivo con claves que el servidor nunca posee—, un atacante que robe la base de datos entera solo se lleva texto ilegible. Sin las claves, ese material no vale nada.
Con cifrado de extremo a extremo, aunque roben la base de datos completa, el atacante se lleva texto cifrado que no puede leer, no las notas de tus pacientes.
Por eso, la pregunta que más protege a tus pacientes no es "¿mi proveedor es grande y conocido?", sino "¿mi proveedor puede leer mis notas?". Puedes ver cómo aplicamos este modelo en la página de cifrado de Onera.
Checklist: ¿te protegería tu software ante algo así?
No hace falta ser experto en ciberseguridad. Con estas preguntas, hechas a tu proveedor actual o al que estés valorando, te haces una idea muy clara de tu nivel de exposición:
- ¿Cifrado de extremo a extremo o solo HTTPS? Si solo mencionan HTTPS o "cifrado en tránsito", el servidor puede leer tus datos. E2EE es otra cosa.
- ¿Puede el proveedor leer mis notas de sesión? Si la respuesta es "sí" o hay dudas, un atacante que entre en sus servidores también podría.
- ¿Quién custodia las claves de cifrado? En un modelo E2EE, las controlas tú, no el proveedor.
- ¿Tengo firmado un contrato de encargado del tratamiento (DPA)? Es obligatorio cuando un tercero trata datos de tus pacientes. Puedes revisar el DPA de Onera.
- ¿Puedo exportar y portar mis datos cuando quiera? Si estás atrapado en la herramienta, también lo están tus pacientes. La portabilidad es un derecho del RGPD.
- ¿Qué rastreadores de terceros carga la herramienta? Un software clínico no debería llevar píxeles publicitarios ni grabadores de sesión que capturen información sensible. Lo analizamos en rastreadores publicitarios en software para psicólogos.
- ¿Qué haría yo en las primeras 72 horas si me pasara? Si no lo tienes claro, sigue leyendo.
Si tu proveedor no responde con claridad a estas preguntas, esa falta de claridad ya es una respuesta.
Qué hacer si te pasa: las primeras 72 horas
El RGPD marca un plazo concreto y corto: las brechas de datos personales deben notificarse a la autoridad de control en un máximo de 72 horas desde que se tiene constancia. La AEPD publica guías específicas para el sector salud. En términos generales, el orden de actuación es:
- Contén y documenta. Anota cuándo lo detectaste, qué ha ocurrido y qué categorías de datos pueden estar implicadas. Esa documentación es imprescindible.
- Contacta con tu proveedor de software. Necesitas saber el alcance real: qué datos, de cuántos pacientes y en qué estado (cifrado o no).
- Valora la comunicación a los afectados. Cuando la brecha entraña un alto riesgo para los derechos de las personas, el RGPD obliga también a informar a los pacientes afectados.
- Notifica a la AEPD dentro de las 72 horas. Aunque no tengas todos los detalles, es mejor una notificación inicial dentro de plazo que una tardía.
Cumplir con estos deberes es más fácil si conoces de antemano tus obligaciones de protección de datos como psicólogo: lo resumimos en nuestra guía de RGPD para psicólogos.
Conclusión
El incidente de marzo de 2026 no es una historia sobre una empresa concreta: es un recordatorio de que las filtraciones de datos ya llegaron a nuestro sector, y de que la mejor defensa se decide antes de que ocurran, al elegir dónde guardas las notas de tus pacientes.
No podemos afirmar cómo ocurrió aquel caso ni en qué estado estaban los datos, y no lo haremos. Lo que sí sabemos es el principio que separa un susto de una catástrofe: si tu proveedor no puede leer el contenido clínico, un atacante que le robe la base de datos tampoco podrá. En Onera diseñamos la plataforma desde esa premisa, con cifrado de extremo a extremo y un DPA claro, para que la privacidad de tu consulta no dependa de la buena fe de nadie.
Si quieres una consulta donde una brecha sea, en el peor de los casos, un montón de texto cifrado ilegible, prueba Onera o conoce nuestro cifrado de extremo a extremo.
Preguntas frecuentes
¿Qué pasó en la filtración de datos de software para psicólogos de 2026?
En marzo de 2026, una plataforma de gestión para psicólogos sufrió la exfiltración pública de datos de pacientes. Un atacante anunció la brecha en un foro y, según la fuente pública, la muestra publicada incluía en torno a 1.146.700 notas clínicas y 601.308 datos de identificación personal. El atacante exigía un rescate de 300.000 dólares y la empresa afirmó que afectaba a alrededor del 5% de sus usuarios, además de declarar que lo había notificado a la Agencia Española de Protección de Datos (AEPD).
¿Por qué es tan grave una brecha de datos en una consulta de psicología?
Porque los datos de salud son categoría especial según el artículo 9 del RGPD y los de salud mental están entre los más sensibles que existen: diagnósticos, contenido de sesiones y circunstancias íntimas. A diferencia de una contraseña, no se pueden cambiar. Una filtración puede acarrear estigmatización, daño reputacional y consecuencias legales para el profesional responsable del tratamiento.
¿Cómo sé si mi software para psicólogos me protegería ante una filtración?
Pregunta si aplica cifrado de extremo a extremo o solo HTTPS, si el proveedor puede leer tus notas de sesión, quién custodia las claves, si firmáis un contrato de encargado del tratamiento (DPA) y si puedes exportar tus datos. Si el proveedor no puede leer el contenido clínico, un atacante que robe la base de datos tampoco podría.
¿Qué debo hacer en las primeras 72 horas si sufro una brecha de datos?
El RGPD obliga a notificar las brechas a la autoridad de control en un máximo de 72 horas desde que se tiene constancia. Documenta qué ha pasado y qué datos están implicados, contacta con tu proveedor de software, valora si debes informar a los pacientes afectados y notifica a la AEPD dentro del plazo. La AEPD publica guías específicas para el sector salud.
¿Qué multas prevé el RGPD por una brecha de datos de salud?
El RGPD contempla sanciones de hasta 20 millones de euros o el 4% de la facturación anual global de la empresa, la cifra que resulte mayor. Más allá de la multa, una brecha de datos de salud mental conlleva un daño reputacional y una pérdida de confianza difíciles de reparar.
¿Buscas una plataforma segura para gestionar tu consulta?
Onera centraliza agenda, historia clínica, facturación y procesos internos en una sola plataforma pensada para psicólogos.
Probar Onera gratis
