Ciberseguridad para psicólogos: cómo proteger los datos de tus pacientes

No necesitás ser experto en tecnología para proteger los datos de tus pacientes. Pero si necesitás tomar algunas precauciones básicas que la mayoría de los psicólogos ignoran.
La realidad es que un consultorio psicológico es un blanco atractivo para ciberataques: tiene datos sensibles de salud mental, poca infraestructura de seguridad y profesionales que generalmente no tienen formación en tecnología. Un ransomware que encripte tus historias clínicas o un robo de notebook sin contraseña puede ser catastrófico.
En este artículo te damos una guía práctica con todo lo que necesitás implementar, ordenado de más urgente a menos urgente.
¿Por qué un psicólogo debería preocuparse por la ciberseguridad?
Porque manejás los datos más sensibles que existen: información de salud mental. Un paciente te confía sus miedos, traumas, diagnósticos, medicación, orientación sexual, ideas suicidas. Si esa información se filtra:
- Para el paciente: daño emocional, estigmatización, discriminación laboral, problemas familiares
- Para vos: responsabilidad legal (Ley 25.326), sanciones éticas, pérdida de confianza profesional, demandas por daños
- Para el tratamiento: ruptura de la alianza terapéutica con todos tus pacientes si se enteran
Nota
No hace falta un hacker sofisticado. La mayoría de las filtraciones de datos en consultorios ocurren por cosas simples: una notebook sin contraseña, un backup en un pendrive que se pierde, o un email enviado a la persona equivocada.
Las 10 medidas esenciales
1. Contraseñas seguras
Es lo básico, pero la mayoría falla acá.
Lo que NO hay que hacer:
- Usar la misma contraseña para todo
- Usar "123456", tu fecha de nacimiento o el nombre de tu mascota
- Guardar las contraseñas en un papelito pegado al monitor
- Compartir contraseñas por WhatsApp
Lo que SÍ hay que hacer:
- Usá un gestor de contraseñas (Bitwarden es gratuito y seguro, 1Password es otra buena opción)
- Cada cuenta debe tener una contraseña única
- Las contraseñas deben tener al menos 12 caracteres con mayúsculas, minúsculas, números y símbolos
- Cambiá las contraseñas si sospechás que fueron comprometidas
Contraseñas críticas que deben ser fuertes:
| Cuenta | ¿Por qué es crítica? |
|---|---|
| Email profesional | Puerta de acceso a todas las demás cuentas (recuperación de contraseña) |
| Software clínico | Acceso directo a historias clínicas |
| Computadora/notebook | Acceso físico a todo |
| Nube (Google Drive, Dropbox) | Si guardás archivos clínicos ahí |
| Banco / facturación | Datos financieros propios y de pacientes |
2. Verificación en dos pasos (2FA)
La verificación en dos pasos agrega una capa extra de seguridad. Aunque alguien descubra tu contraseña, no puede entrar sin el segundo factor (generalmente un código en tu celular).
Activala en:
- Tu email profesional (Gmail, Outlook, etc.)
- Tu software clínico (si lo permite)
- Tu cuenta bancaria
- Redes sociales profesionales
¿Cómo activarla?
- En Gmail: Configuración → Seguridad → Verificación en dos pasos
- En la mayoría de los servicios: Configuración → Seguridad → 2FA
Recomendación: Usá una app de autenticación (Google Authenticator, Authy) en lugar de SMS. Los SMS pueden ser interceptados.
3. Encriptación del disco
Si alguien te roba la notebook o el celular, la encriptación del disco hace que los datos sean ilegibles sin tu contraseña.
En Windows:
- Buscá "BitLocker" en Configuración → te guía paso a paso
- En Windows 11 Home: Configuración → Privacidad y seguridad → Cifrado de dispositivo
En Mac:
- Preferencias del Sistema → Seguridad y privacidad → FileVault → Activar
En celular:
- Android e iOS ya vienen encriptados por defecto si tenés PIN/contraseña activa
- Verificá: Configuración → Seguridad → Cifrado
Importante
Si tu notebook no tiene encriptación activada y la perdés o te la roban, cualquier persona puede acceder a todos tus archivos simplemente extrayendo el disco rígido. No importa que tengas contraseña de Windows — eso solo protege el inicio de sesión, no los datos.
4. Backup de historias clínicas
Perder las historias clínicas es un incumplimiento legal (Ley 26.529, 10 años de conservación) y una catástrofe clínica.
Regla 3-2-1:
- 3 copias de tus datos
- En 2 tipos de medios diferentes
- 1 copia fuera de tu consultorio
Opciones de backup:
| Medio | Ventajas | Desventajas |
|---|---|---|
| Nube encriptada (Google Drive + Cryptomator) | Automático, accesible, seguro | Requiere configuración |
| Disco externo | Simple, económico | Puede dañarse, hay que acordarse |
| Software clínico con backup automático | Sin esfuerzo, profesional | Dependés del proveedor |
Frecuencia: Si llevás registros digitales, backup diario (o automático). Si llevás registros en papel, escaneo periódico.
5. WiFi seguro
El WiFi de tu consultorio es una puerta de entrada a tu red.
Medidas básicas:
- Contraseña WPA3 (o WPA2 como mínimo). Nunca WEP
- Contraseña de al menos 12 caracteres que no sea "consultorio123"
- Cambiá la contraseña del router (la que viene de fábrica está en internet)
- Si ofrecés WiFi a pacientes, usá una red separada (red de invitados)
- Desactivá WPS (es una vulnerabilidad conocida)
¿Red de invitados? La mayoría de los routers modernos permiten crear dos redes: una para vos (donde está tu computadora) y otra para invitados (pacientes). Así, aunque alguien conectado a la red de invitados intente algo, no puede acceder a tu computadora.
6. Actualizaciones de software
Las actualizaciones no son solo para nuevas funciones — corrigen vulnerabilidades de seguridad. Un sistema desactualizado es un sistema vulnerable.
Mantené actualizado:
- Sistema operativo (Windows, macOS)
- Navegador (Chrome, Firefox, Safari)
- Software clínico
- Antivirus
- Apps del celular
Consejo: Activá las actualizaciones automáticas. Es la forma más fácil de mantenerte al día.
7. Phishing: el engaño más común
El phishing es un ataque donde alguien se hace pasar por una entidad confiable (banco, AFIP, Google, tu obra social) para robarte datos.
Cómo detectarlo:
| Señal | Ejemplo |
|---|---|
| Urgencia artificial | "Tu cuenta será suspendida en 24 horas" |
| Errores de ortografía | "Estimado usario, su cueta..." |
| Remitente sospechoso | soporte@go0gle.com (con cero en vez de "o") |
| Links que no coinciden | El texto dice "www.banco.com" pero el link va a otra URL |
| Adjuntos inesperados | "Factura adjunta" de alguien que no conocés |
| Pedido de datos sensibles | "Ingresa tu contraseña para verificar tu cuenta" |
Qué hacer si sospechás:
- No hagas click en ningún link
- No descargues ningún adjunto
- No respondas al email
- Si parece ser de tu banco u otra entidad, contactalos directamente por sus canales oficiales
Consejo
Si tenés dudas sobre un email, buscá la dirección del remitente en Google. Si es phishing, probablemente alguien ya lo reportó.
8. Ransomware: el secuestro digital
El ransomware es un tipo de malware que encripta todos tus archivos y te pide un rescate (generalmente en criptomonedas) para devolvértelos.
Cómo se infecta una computadora:
- Abriendo un adjunto de email infectado
- Descargando software pirata
- Visitando sitios web maliciosos
- A través de pendrives infectados
Cómo prevenirlo:
- Mantené un backup actualizado (si te encriptan, restaurás del backup)
- No abras adjuntos de remitentes desconocidos
- No descargues software de sitios no oficiales
- Usá antivirus actualizado
- Mantené el sistema operativo al día
Si te pasa:
- Desconectá la computadora de internet inmediatamente
- No pagues el rescate (no garantiza que te devuelvan los datos)
- Contactá a un técnico especializado
- Restaurá desde tu backup
- Denunciá ante la UFECI (Unidad Fiscal Especializada en Ciberdelincuencia)
9. Seguridad del celular
Tu celular probablemente tiene datos de pacientes: mensajes de WhatsApp, agendas, fotos de documentos, acceso al email profesional.
Medidas esenciales:
- PIN o biometría (huella/rostro) activados
- Encriptación activada (viene por defecto en la mayoría de los celulares modernos)
- Bloqueo automático después de 1-2 minutos de inactividad
- Función "Buscar mi dispositivo" activada (para borrar remotamente si lo perdés)
- No instales apps de fuentes desconocidas
- Revisá los permisos de las apps periódicamente
10. Seguridad física
No todo es digital. La seguridad física sigue siendo importante.
- Historias clínicas en papel: guardadas bajo llave, no sobre el escritorio
- Notebook: no dejarla en el auto, en la sala de espera o en lugares públicos
- Pantalla: bloqueá la pantalla (Windows + L, o Ctrl + Cmd + Q en Mac) cuando te levantás
- Destrucción de documentos: usá trituradora de papel, no tires documentos clínicos a la basura sin destruir
- Pendrive / disco externo: guardá en lugar seguro, idealmente encriptado
¿Qué hacer si te roban la notebook?
Si tu notebook tiene datos de pacientes y te la roban o la perdés:
Paso 1: Actuar rápido (primeras horas)
- Intentá localizar el dispositivo remotamente (Buscar mi dispositivo en Windows / Buscar mi Mac)
- Si no lo podés recuperar, borrá remotamente los datos
- Cambiá las contraseñas de todas las cuentas que tenías logueadas (email, software clínico, banco, redes)
Paso 2: Evaluar el daño
- ¿El disco estaba encriptado? Sí → riesgo bajo. No → riesgo alto
- ¿Qué información había? ¿Historias clínicas, datos de pacientes, documentos sensibles?
- ¿Tenías sesión iniciada en servicios en la nube?
Paso 3: Notificar
- Si los datos no estaban encriptados, es posible que tengas obligación de notificar a los pacientes afectados y a la AAIP
- Consultá con un abogado sobre tus obligaciones específicas
- Haz la denuncia policial (te sirve como respaldo legal)
Paso 4: Documentar
- Registrá en la historia clínica de cada paciente afectado que hubo un incidente de seguridad
- Documentá qué medidas tomaste para mitigar el daño
- Implementá las medidas que faltaban para que no vuelva a pasar
Importante
Si tu notebook no tenía encriptación de disco ni contraseña segura, y tenía historias clínicas almacenadas localmente, se considera una brecha de datos sensibles. Las consecuencias legales pueden ser severas.
Checklist de seguridad para tu consultorio
Imprimila y verificala:
Urgente (hacer hoy)
- Poner contraseña fuerte a la computadora
- Activar verificación en dos pasos en el email
- Activar encriptación del disco (BitLocker / FileVault)
- Verificar que el celular tenga PIN o biometría
Esta semana
- Instalar un gestor de contraseñas y migrar las contraseñas
- Configurar un backup automático
- Actualizar el sistema operativo y el navegador
- Cambiar la contraseña del WiFi si es débil
Este mes
- Crear red de invitados para el WiFi de pacientes
- Activar "Buscar mi dispositivo" en la notebook y el celular
- Revisar qué apps del celular tienen acceso a datos sensibles
- Capacitar al personal administrativo sobre phishing
Mantenimiento periódico
- Actualizar software (mensual)
- Verificar que los backups funcionan (trimestral)
- Cambiar contraseñas críticas (anual o si hay sospecha de brecha)
- Revisar accesos y permisos (semestral)
Cómo Brauni resuelve la ciberseguridad por vos
Con Brauni, la mayoría de estas preocupaciones desaparecen porque la seguridad está integrada en la plataforma:
- Encriptación de extremo a extremo: Tus datos están encriptados en reposo y en tránsito — aunque alguien acceda a los servidores, no puede leerlos
- Backups automáticos: No dependés de acordarte de hacer backup
- Acceso seguro: Verificación en dos pasos disponible, sesiones con expiración automática
- Sin datos locales: Las historias clínicas no se guardan en tu notebook — si te la roban, tus datos clínicos están seguros en la nube
- Actualizaciones automáticas: La plataforma siempre está actualizada con los últimos parches de seguridad
- Registro de accesos: Sabés exactamente quién accedió a qué y cuándo
Probá Brauni gratis durante 15 días, sin tarjeta
Notas de sesión automáticas, historia clínica digital y más.
Comenzar gratisResumen
| Medida | Prioridad | Dificultad |
|---|---|---|
| Contraseñas seguras + gestor | Urgente | Fácil |
| Verificación en dos pasos | Urgente | Fácil |
| Encriptación del disco | Urgente | Media |
| Backup 3-2-1 | Alta | Media |
| WiFi seguro + red invitados | Alta | Media |
| Actualizaciones automáticas | Alta | Fácil |
| Reconocer phishing | Alta | Requiere práctica |
| Protección contra ransomware | Alta | Media |
| Seguridad del celular | Media | Fácil |
| Seguridad física | Media | Fácil |
Artículos relacionados

Privacidad y Seguridad
Ley de Protección de Datos Personales para psicólogos: qué tenés que saber sobre la Ley 25.326
Guía práctica sobre la Ley 25.326 de Protección de Datos Personales aplicada al consultorio psicológico. Datos sensibles, obligaciones, habeas data, sanciones y cómo cumplir sin complicarte.

Privacidad y Seguridad
WhatsApp con pacientes: límites, riesgos y buenas prácticas
Cómo usar WhatsApp con pacientes sin romper el encuadre ni la confidencialidad: límites claros, protocolo de crisis y buenas prácticas para psicólogos.

Privacidad y Seguridad
Grabar sesiones de terapia: qué dice la ley y cómo hacerlo bien
Grabar sesiones de terapia es legal solo con consentimiento informado previo. Qué exige la ley argentina, cómo redactar la cláusula y cómo guardar el audio.