AI Empire
Todos los artículos
Tecnología · 14 min lectura

Disaster recovery + backup en clínica privada · plan honest 2026

·Jonatan Contell

Pregúntale a un doctor cualquiera de una clínica privada qué pasa si mañana se rompe el servidor del PMS y pierde la historia clínica electrónica (HCE). Respuesta típica: "tengo backup". Segunda pregunta: ¿cuándo fue la última vez que probaste restaurarlo? Silencio. Este artículo es el plan honesto disaster recovery para clínica privada española · sin vender FUD · con framework usable.

Por qué importa · números crudos sector

Las clínicas privadas son target atractivo para ransomware. La HCE tiene valor en mercado negro (~250€ por registro según informes públicos sector salud) y los negocios necesitan acceso 24/7 a sus datos · pagan rescate para volver online rápido. En 2024 una aseguradora española (Mapfre) reportó incremento 60% reclamaciones ciberseguridad sector salud privado · y los datos públicos hablan de varios casos clínicas víctimas durante el año.

Pero el riesgo más probable NO es ransomware sofisticado · es:

  • Disco duro que muere (probabilidad ~5%/año en HDD · ~1%/año en SSD)
  • Recepción borra por error pacientes en bulk
  • Vendor PMS sufre incidente y pierde datos (sí · pasa)
  • Robo del equipo físico de la clínica
  • Incendio · inundación · accidente local
  • Empleado descontento elimina datos antes salir

Conceptos clave · RTO y RPO

RTO · Recovery Time Objective

Cuánto tiempo puedes estar "down" antes de que el daño sea grave. Para una clínica dental típica:

  • RTO < 1h · enterprise · raras clínicas privadas necesitan esto
  • RTO 4h · standard · realista para clínica mid-size
  • RTO 24h · acceptable · clínica pequeña puede operar 1 día con papel + agenda backup
  • RTO > 24h · riesgo alto · cancelaciones masivas · pérdida confianza

RPO · Recovery Point Objective

Cuántos datos puedes permitirte perder (medido en tiempo). Si haces backup diario a las 02:00 y el desastre ocurre a las 18:00 · pierdes 16h de cambios.

  • RPO 1h · backup continuo cada hora · standard SaaS healthcare
  • RPO 24h · backup diario · mínimo aceptable LOPDGDD
  • RPO 1 semana · INACEPTABLE · perder semana HCE = malpractice claim

Framework 4 niveles disaster recovery

Nivel 1 · Basic (clínica pequeña <200k€)

  • Backup: automático diario PMS (vendor lo hace si SaaS)
  • Almacenamiento: 1 ubicación cloud (S3 · Backblaze · Google Drive Workspace)
  • Cifrado: AES-256 en reposo (vendor estándar)
  • Retención: 30 días rolling + snapshot mensual 5 años LOPDGDD
  • RTO: 24-48h · RPO: 24h
  • Prueba restore: nunca (riesgo alto · no recomendado)
  • Coste: incluido en cuota PMS (0€ extra)

Nivel 2 · Standard (clínica mid 300-800k€)

  • Backup: diario PMS + backup independiente offsite (3-2-1 rule)
  • Almacenamiento: 2 ubicaciones distintas (cloud principal + cold storage Glacier)
  • Cifrado: AES-256 + claves controladas clínica (KMS gestionado)
  • Retención: 30 días + mensual 12m + anual 5 años
  • RTO: 4-8h · RPO: 12h
  • Prueba restore: trimestral · runbook documentado
  • Coste: 50-150€/mes adicional

Nivel 3 · Enterprise (clínica grande >1M€)

  • Backup: continuo CDC (Change Data Capture) cada 15min
  • Almacenamiento: multi-región (Madrid + Frankfurt p.ej.)
  • Cifrado: AES-256 + CMK (Customer Managed Keys) + envelope encryption
  • Retención: 30d + 12m + 7 años (HCE histórica)
  • RTO: 1-4h · RPO: 1h
  • Prueba restore: mensual + tabletop exercise semestral
  • Coste: 300-800€/mes

Nivel 4 · Multi-region (DSO · cadena 10+ clínicas)

  • Backup: sincronización activa multi-AZ + multi-región
  • Almacenamiento: active-active (Madrid + Dublin + secondary cold)
  • Cifrado: CMK por clínica + HSM dedicado
  • Retención: según contrato corporativo + 7 años HCE
  • RTO: <15min (failover automático) · RPO: cercano cero
  • Prueba restore: automated chaos engineering + DR drill anual
  • Coste: 2000-8000€/mes

Backup HCE · qué obliga LOPDGDD

La Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD) + Reglamento RGPD imponen sobre HCE:

  • Disponibilidad: medidas técnicas garantizar acceso datos paciente (Art. 32 RGPD) · backup es medida razonable
  • Integridad: mecanismos detectar alteración accidental · hash · firma digital
  • Confidencialidad: cifrado en tránsito y reposo
  • Resiliencia: capacidad restaurar tras incidente · pruebas periódicas
  • Conservación: 5 años mínimo HCE post última asistencia (Ley 41/2002 autonomía paciente) · algunas CCAA exigen 10 o 15

AEPD sanciona el incumplimiento. Multas reportadas clínicas españolas 2024 oscilan entre 5.000-150.000€ según gravedad. NO es teórico.

Ransomware · qué hacer si te pasa

Antes (prevención)

  • EDR (Endpoint Detection & Response) en todos los equipos · 5-15€/mes/equipo
  • Backup OFFLINE o air-gapped semanal (no se infecta si ataque cifra cloud)
  • MFA obligatorio en todos accounts admin (Google Workspace · PMS · email)
  • Updates OS + software cada 2 semanas · ransomware suele entrar por vulnerabilidad conocida
  • Formación recepción anti-phishing trimestral
  • Seguro ciber (~200-800€/año clínica pequeña · cubre rescate + recovery)

Durante (respuesta)

  • Desconectar equipo afectado de red INMEDIATO (físicamente · no power off)
  • NO pagar rescate · llama Policía / GDT (Grupo Delitos Telemáticos)
  • Notificar AEPD en 72h si hay brecha datos personales
  • Activar seguro ciber · incident response team toma control
  • Comunicar pacientes afectados si datos sensibles comprometidos

Después (recovery)

  • Restore desde backup offline limpio (NO el online · puede estar infectado)
  • Forensic análisis cómo entró atacante · cerrar vulnerabilidad
  • Reset passwords todos usuarios + rotar claves cifrado
  • Reporte AEPD final + lecciones aprendidas internas

Runbook DR · qué documentar

Sin runbook el plan no existe. Documenta en página simple Notion o Google Docs:

  • Lista críticos · qué sistemas necesitas restore primero (PMS, agenda, facturación)
  • Quién hace qué · responsable técnico + responsable comunicación pacientes
  • Contactos vendors emergencia · teléfono soporte 24/7
  • Pasos exactos restore · credenciales backup ubicación segura (1Password)
  • Procedimiento operación papel · cómo seguir atendiendo sin sistema
  • Plantilla comunicación pacientes · WhatsApp + email + cartel clínica
  • Plantilla notificación AEPD si brecha datos

Prueba restore · la única que importa

Backup que nunca pruebas no es backup · es ilusión de backup. Mejor práctica:

  • Trimestral · descarga backup completo · monta en entorno test · verifica que abre · verifica que datos están enteros (spot check 10 HCE random)
  • Mensual si nivel 3+ · automatización scripts con report email
  • Anual · simulacro completo "hoy es día desastre" · cronometra cuánto tarda equipo restore real · compara con RTO objetivo

Cómo AI Empire encaja

AI Empire es Tier-3 backup (continuo + multi-región Cloudflare/Supabase) por arquitectura nativa. Para clínicas:

  • Datos conversación WhatsApp · backup automático Supabase Point-in-Time Recovery 7 días + daily snapshots 30 días
  • Cifrado AES-256 en reposo + TLS 1.3 en tránsito
  • Multi-AZ EU (Frankfurt + Dublin) · failover automático
  • Export full data clínica vía API en cualquier momento (data portability RGPD)
  • Coste backup incluido en plan · sin extras

NO sustituye backup HCE clínica (eso es PMS) · pero la capa AI Empire tiene resiliencia enterprise sin coste adicional.

Disclaimer: este artículo es operativo general · NO sustituye plan custom auditado por consultor ciberseguridad sanitaria. Las cifras coste y multas son orientativas datos sector públicos · pueden variar caso concreto. Consulta abogado especialista LOPDGDD y consultor incident response antes de finalizar plan DR clínica. AI Empire NO asesora directamente ciberseguridad sanitaria.

Lectura relacionada

Otros artículos que pueden ayudarte a profundizar en lo mismo.

Tecnología · 13 min

Apple Pay + Google Pay en clínica privada · setup honest 2026

Guía honesta Apple Pay + Google Pay en clínica privada España 2026 · adopción real · setup TPV vs online · UX paciente · costes.

Leer artículo
Tecnología · 14 min

Pen test en clínica privada · qué cubre · qué cuesta · cuándo (2026)

Análisis honesto pen test clínica privada 2026 · scope · vendors España · costes reales · cuándo necesitas · cuándo NO · qué resultados espe

Leer artículo
Tecnología · 14 min

CRM clínica privada vs PMS · diferencias reales 2026

Análisis honesto CRM vs PMS clínica privada 2026 · qué hace cada uno · cuándo necesitas ambos · integración · vendor stacks reales · alterna

Leer artículo

Deja de regalar ingresos.
Activa tu Revenue OS.

14 días gratis · setup completo incluido · sin permanencia. Si en 14 días no recuperas mínimo 1 cita atribuible al bot · te devolvemos lo pagado y archivamos sin preguntas.

Activar gratis 14 díasAgendar demo 15 min

¿Prefieres ver demo grabada antes? · analiza tus reseñas gratis · audit pre-onboarding para tu clínica · 5 min · cero compromiso.