Si eres psicólogo y usas herramientas digitales en tu consulta, este artículo te interesa —y mucho. En marzo de 2026, una plataforma española de gestión clínica para psicólogos sufrió una de las brechas de seguridad más graves del sector: más de un millón de notas clínicas quedaron expuestas, con transcripciones completas de sesiones terapéuticas, nombres, DNIs y detalles íntimos de pacientes. El atacante pidió 300.000 dólares de rescate. La causa raíz: el doble factor de autenticación era opcional.
Este incidente no es un caso aislado. España es el segundo país de Europa más atacado en el sector sanitario. Los datos de salud mental son de los más cotizados en el mercado negro. Pero la solución no es volver al papel —es elegir la herramienta correcta.
1. Lo que ocurrió con una plataforma del sector —y lo que aprendemos de ello
A principios de marzo de 2026, un ciberdelincuente publicó en un foro de hackers que había extraído la base de datos completa de una conocida plataforma de gestión para psicólogos con sede en Cataluña. Compartió muestras de archivos de más de 200 profesionales como prueba. Los datos incluían nombres, apellidos, teléfonos, correos electrónicos, DNIs, pero también —y esto es lo más grave— notas clínicas completas y transcripciones de sesiones terapéuticas con detalles extremadamente sensibles: problemas de pareja, estrés laboral, trastornos sexuales, conflictos familiares.
La empresa afectada reconoció el incidente, activó su protocolo de respuesta, denunció ante las autoridades y notificó a la AEPD. Sin embargo, varios expertos en ciberseguridad y organizaciones como ePrivacidad señalaron que la compañía minimizó la gravedad del ataque, describiendo los datos filtrados como “breves anotaciones profesionales” cuando en realidad contenían transcripciones extensas de sesiones completas. Además, los datos se filtraron sin ningún tipo de cifrado.
¿El detalle más revelador? El doble factor de autenticación era una función opcional hasta el día del ataque. Solo después de la brecha pasó a ser obligatorio para todos los usuarios.
Lección 1: El 2FA nunca debería ser opcional
En una plataforma que maneja datos de salud, la autenticación de doble factor debe ser obligatoria desde el primer día, no una respuesta reactiva a un incidente.
Lección 2: Prometer seguridad no es implementarla
Una página web puede afirmar cualquier cosa. Lo que importa es la arquitectura real del sistema: cifrado, control de accesos, auditorías independientes.
Lección 3: Los datos de tus pacientes son de categoría especial
Bajo el artículo 9 del RGPD, los datos de salud gozan de la máxima protección legal. Su filtración puede tener consecuencias devastadoras tanto para los pacientes como para ti como responsable del tratamiento.
2. Tus miedos son legítimos, pero tienen solución
Hablemos con honestidad. Sabemos que muchos psicólogos sienten una mezcla de desconfianza y abrumamiento cuando se trata de tecnología y protección de datos. Los estudios del Colegio Oficial de Psicólogos de Madrid confirman que la confidencialidad de los datos y los problemas técnicos figuran entre las principales preocupaciones de los profesionales respecto a la telepsicología.
Un 45% de profesionales que no usan herramientas digitales citan la falta de confianza en la seguridad de la información online como motivo principal.
2.400 ciberataques semanales
El sector salud recibe una media de 2.400 ciberataques semanales a nivel global, un 10% más que el año anterior. enlace
7,42 millones de dólares
El coste medio de una brecha de datos sanitarios alcanza los 7,42 millones de dólares. enlace
Hasta 20 millones de euros en sanciones
La AEPD puede imponer sanciones de hasta 20 millones de euros o el 4% de la facturación global por infracciones muy graves del RGPD. enlace
Pero aquí está la paradoja: el papel y la agenda física no te protegen más que una plataforma bien diseñada. Un armario con historiales puede arder en un incendio, ser robado o consultado por quien no debe. enlace Una plataforma digital con las medidas de seguridad adecuadas ofrece cifrado, control de accesos, copias de seguridad automatizadas y trazabilidad completa de quién accede a qué dato y cuándo.
La clave está en elegir bien
La clave no está en evitar la tecnología. Está en elegir tecnología que se tome la seguridad tan en serio como tú te tomas a tus pacientes.
3. Cómo protege HanaMind los datos de tu consulta
En HanaMind, la seguridad no es una funcionalidad opcional ni un eslogan comercial. Es la base sobre la que está construida toda la plataforma. Estas son las medidas concretas que implementamos:
Doble factor de autenticación obligatorio
Desde el primer día, no como respuesta a un incidente. Cada vez que accedes a tu cuenta, necesitas verificar tu identidad con un segundo factor. Aunque alguien obtuviera tu contraseña, no podría acceder a los datos de tus pacientes. enlace
Cifrado en tránsito y en reposo
Toda la comunicación viaja protegida mediante protocolo TLS (el mismo estándar que usan los bancos). Los datos almacenados están cifrados con algoritmos de grado militar. La información de tus pacientes nunca viaja ni se almacena en texto plano.
Cumplimiento íntegro del RGPD y la LOPDGDD
Diseñada para cumplir con el RGPD europeo y la Ley Orgánica 3/2018 española. Implementamos minimización de datos, control de acceso basado en roles, registro de actividades y capacidad de ejercicio de derechos (acceso, rectificación, supresión, portabilidad).
Infraestructura europea de primer nivel
Alojada en centros de datos de Hetzner, proveedor europeo certificado ISO 27001, con redundancia, control de acceso físico y auditorías independientes. Los datos de tus pacientes nunca salen de Europa.
Pero hay dos aspectos de HanaMind que generan dudas con frecuencia y que merecen una explicación detallada: las videoconsultas a través de Google Meet y los pagos a través de Stripe.
4. “Google Meet no es seguro para videoconsultas”: mito desmontado
Este es uno de los mitos más extendidos —y más infundados— del sector. La realidad técnica es exactamente la contraria.
Todas las videollamadas de Google Meet están cifradas en tránsito por defecto, utilizando los protocolos DTLS y SRTP, estándares definidos por la IETF (Internet Engineering Task Force), Google Support la misma organización que define los protocolos fundamentales de internet. Esto significa que el audio y el vídeo de tus sesiones viajan cifrados desde tu dispositivo hasta los servidores de Google y de vuelta al dispositivo de tu paciente. Interceptar y descifrar esa comunicación es computacionalmente inviable con la tecnología actual.
Cifrado de extremo a extremo
Las grabaciones en Google Drive se cifran en reposo con AES de 128 bits o superior. Google Meet ofrece cifrado de extremo a extremo (E2EE) para llamadas individuales y cifrado del lado del cliente (CSE) para planes Enterprise. enlace
Certificaciones de primer nivel
Google Workspace cuenta con certificaciones ISO 27001, 27017, 27018 y 27701, además de auditorías SOC 1, SOC 2 y SOC 3. Cumple con el RGPD europeo y es compatible con HIPAA (la normativa sanitaria estadounidense, aún más exigente en ciertos aspectos).
Google no usa los datos de Meet para publicidad, no los vende a terceros y no almacena vídeo ni audio a menos que alguien inicie una grabación.
Un dato significativo
Google Meet no ha sufrido ninguna brecha de seguridad conocida, a diferencia de otras plataformas de videollamada que sí han tenido problemas documentados (como el fenómeno del “Zoombombing”). El equipo de seguridad de Google Cloud cuenta con más de 700 ingenieros dedicados exclusivamente a proteger su infraestructura.
Cuando usas Google Meet integrado en HanaMind para tus videoconsultas, no estás eligiendo una opción “menos segura”. Estás eligiendo una de las plataformas más auditadas, certificadas y robustas del planeta.
5. “Stripe es una app de terceros, no me fío”: por qué es exactamente al revés
Otro temor recurrente: “¿Por qué mis pacientes tienen que pagar a través de un tercero? ¿No sería más seguro gestionar los pagos directamente?” La respuesta corta es no. La respuesta larga explica por qué usar Stripe es significativamente más seguro que cualquier alternativa interna.
Stripe está certificado como PCI DSS Nivel 1, el nivel más alto y exigente de seguridad en la industria de pagos a nivel mundial. enlace Los números de tarjeta se cifran con AES-256 (el estándar más robusto que existe) y se almacenan en una infraestructura completamente aislada. Cuando tu paciente introduce sus datos de pago, estos nunca pasan por los servidores de HanaMind: van directamente a Stripe, que devuelve un token seguro. Es técnicamente imposible que HanaMind vea, almacene o filtre los datos reales de la tarjeta de tu paciente.
1,9 billones de dólares en transacciones anuales
Aproximadamente el 1,6% del PIB mundial. El 90% de las empresas del Dow Jones y el 80% del Nasdaq 100 confían en Stripe: Amazon, Google, Microsoft, NVIDIA, Shopify, BMW, Toyota. enlace
2.300 millones de dólares en fraude bloqueado
Su sistema de detección de fraude basado en IA analiza cientos de señales por cada transacción y bloqueó 2.300 millones de dólares en actividad fraudulenta solo en 2025.
Stripe tiene una entidad incorporada en Europa (Stripe Payments Europe, Limited, en Irlanda) con licencia de dinero electrónico de la UE, cumple con la directiva PSD2 y la autenticación reforzada de cliente (SCA), y tiene un Data Processing Agreement que garantiza el cumplimiento del RGPD.
¿Por qué delegar los pagos es más seguro?
La ironía del argumento “no confío en un tercero” es que delegar los pagos en un especialista como Stripe reduce tu superficie de ataque. Si gestionaras pagos directamente, tendrías que almacenar datos de tarjeta en tus servidores, obtener tu propia certificación PCI DSS (con auditorías anuales que cuestan entre 50.000 y 200.000 euros) y mantener infraestructura de seguridad financiera con recursos que ninguna startup ni consulta individual podría asumir. Stripe invierte cientos de millones de dólares al año en seguridad para que tú no tengas que hacerlo.
6. Qué debería exigirle a cualquier plataforma de gestión clínica
Tras el incidente que sacudió al sector en marzo de 2026, muchos profesionales se preguntan qué criterios deberían usar para evaluar la seguridad de su herramienta de gestión. Estas son las medidas que, según el RGPD, la LOPDGDD y las mejores prácticas del sector, deberían considerarse imprescindibles — no opcionales:
2FA obligatorio
No opcional, no “activable si quieres”. Es la primera línea de defensa contra accesos no autorizados. enlace
Cifrado TLS + AES-256
Cifrado de datos en tránsito (TLS/HTTPS) y en reposo (AES-256), de modo que la información nunca exista en texto plano en ningún punto del sistema.
Cumplimiento demostrable RGPD
Incluyendo evaluaciones de impacto, registros de tratamiento y contratos de encargo con proveedores.
Copias de seguridad cifradas
Automatizadas y almacenadas en ubicaciones separadas con control de acceso independiente.
- Trazabilidad y auditoría de accesos a datos clínicos, para saber quién accedió a qué y cuándo.
En HanaMind, todas estas medidas están implementadas desde el diseño de la plataforma. No como parches posteriores a un incidente, sino como principios fundacionales.
7. Tu responsabilidad como profesional, nuestra responsabilidad como plataforma
Como psicólogo, eres legalmente el responsable del tratamiento de los datos de tus pacientes según el RGPD. Eso significa que la elección de herramientas tecnológicas no es una decisión menor: es una obligación legal. Si la plataforma que utilizas sufre una brecha, tú también podrías enfrentarte a consecuencias legales, desde reclamaciones ante la AEPD hasta demandas civiles por daños morales de tus pacientes. enlace
No te contamos esto para asustarte. Te lo contamos porque creemos que mereces tomar decisiones informadas. Y porque en HanaMind hemos construido cada funcionalidad pensando en que nunca tengas que preocuparte por si los datos de tus pacientes están protegidos. Lo están.
Puntos clave para recordar
La confianza que tus pacientes depositan en ti dentro de la consulta merece la misma protección fuera de ella. HanaMind existe para garantizar exactamente eso.
¿Quieres comprobar por ti mismo cómo HanaMind protege tu consulta? Solicita una demo gratuita y descubre una plataforma donde la seguridad no es una promesa — es una garantía técnica.