---
title: "Retos en materia de seguridad de la información sanitaria en los hospitales y sistemas sanitarios actuales"
published_at: "2026-07-01T19:27:36+00:00"
modified_at: "2026-07-01T19:28:09+00:00"
url: "https://www.baculasystems.com/es/el-blog/ciberseguridad-en-el-sector-sanitario-retos-para-los-hospitales/"
markdown_url: "https://www.baculasystems.com/es/el-blog/ciberseguridad-en-el-sector-sanitario-retos-para-los-hospitales.md"
taxonomy_language:
  - "Español"
---

[Inicio](https://www.baculasystems.com/es/)
 > [Blog de copias de seguridad y recuperación](https://www.baculasystems.com/es/el-blog/)
 > Retos en materia de seguridad de la información sanitaria en los hospitales y sistemas sanitarios actuales

# Retos en materia de seguridad de la información sanitaria en los hospitales y sistemas sanitarios actuales

Actualizado 1st julio 2026, Rob Morrison

## ¿Por qué es fundamental la seguridad de la información sanitaria en los hospitales modernos?

Dado que la prestación de asistencia sanitaria moderna depende por completo de la infraestructura digital, la seguridad de la información sanitaria es fundamental para la seguridad de los pacientes y la continuidad operativa. Incluso pequeñas filtraciones de datos pueden poner en riesgo la vida de los pacientes y el funcionamiento de los hospitales, además de infringir la legislación en materia de privacidad.

La rápida digitalización del sector sanitario hace que sea vital proteger los entornos digitales en este ámbito. De lo contrario, los hospitales y las ambulancias podrían sufrir graves interrupciones operativas.

Al fin y al cabo, los ecosistemas digitales integrados que han sustituido a las historias clínicas en papel han mejorado significativamente los resultados clínicos, han acelerado los diagnósticos y han facilitado la coordinación de la atención sanitaria.

### ¿Cuáles son las características específicas de los datos sanitarios que suscitan preocupaciones en materia de seguridad?

Los datos sanitarios habituales suscitan preocupaciones en materia de seguridad debido a su gran valor. Contienen información permanente de carácter personal, médico, financiero y genético que no puede modificarse fácilmente tras un robo. Se sabe que en los mercados del crimen se venden [historiales médicos completos por un valor diez veces superior al de las tarjetas de crédito robadas](https://patient-protect.com/post/healthcare-data-breach-statistics-2025-why-medical-records-are-worth-10-more-than-credit-cards)
.

Un solo historial contiene diagnósticos, medicaciones, datos genéticos y antecedentes de salud mental. Esta información médica tiende a no caducar. No se puede cancelar ni reemitir un historial médico robado, algo que no ocurre con una tarjeta de crédito.

El acceso a información sensible de los pacientes, incluidos el estado serológico respecto al VIH, los registros de salud conductual y de salud reproductiva, puede hacer que los pacientes se enfrenten a discriminación laboral y en materia de seguros.

### ¿Cómo se relacionan entre sí la seguridad del paciente, la protección de sus datos y la seguridad de los datos?

La seguridad de los datos de los pacientes, su protección y la seguridad de los pacientes en el ámbito sanitario son las mismas preocupaciones en distintos marcos temporales. Según un estudio publicado en el *American Economic Journal*, la mortalidad hospitalaria aumenta significativamente durante los ataques de ransomware.

Cuando los sistemas de historias clínicas electrónicas (EHR) dejan de funcionar, desaparecen las listas de comprobación de anestesia, no se registran los datos vitales en las unidades de cuidados intensivos (UCI) y las decisiones de los médicos de urgencias carecen de datos críticos relacionados con la salud, como alergias y detalles sobre la medicación.

La seguridad del paciente depende de la protección de los datos. Cuando las organizaciones sanitarias se enfrentan a una fuga de datos, la disponibilidad del sistema ayuda a evitar el deterioro de la calidad de la atención al paciente provocado por la desconexión de los sistemas de información.

### ¿Qué obligaciones normativas y legales impulsan la inversión en seguridad en el sector sanitario?

La [Norma de Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
 establece normas nacionales para que las entidades o socios comerciales puedan proteger la información sanitaria protegida electrónica (ePHI) de los pacientes que se cree, reciba, utilice o mantenga.

De acuerdo con la Norma de Seguridad, las entidades o socios comerciales deben implementar medidas de protección administrativas, físicas y técnicas adecuadas para [garantizar que la información sanitaria protegida electrónica (ePHI)](https://www.hipaajournal.com/ephi/)
 sea confidencial, íntegra y accesible.

La ePHI es información sanitaria protegida que se genera, almacena, transfiere o recibe en formato electrónico.

La [Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH)](https://www.hipaajournal.com/what-is-the-hitech-act/)
 está diseñada para reforzar la aplicación de la normativa y ampliar los requisitos de notificación de infracciones. Esta ley forma parte de la Ley de Recuperación y Reinversión de Estados Unidos de 2009, que fomenta el uso significativo de los historiales médicos electrónicos (EHR), lo que refuerza las disposiciones de seguridad y privacidad de la HIPAA.

Además, la Ley HITECH permite que la HIPAA se extienda a los socios comerciales de las entidades cubiertas, a quienes se les puede exigir responsabilidad por incumplimientos de la HIPAA. Estos incumplimientos pueden incluir el acceso no autorizado de los empleados a los expedientes médicos y la eliminación inadecuada de los historiales de los pacientes. Por último, esta ley también establece sanciones por las infracciones de la HIPAA.

En diciembre de 2024, el Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) presentó la primera gran actualización de la [Norma de Seguridad de la HIPAA](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
. Como resultado, el cifrado pasó a ser obligatorio en lugar de «recomendable».

Las empresas sanitarias que gestionan datos de residentes de la Unión Europea (UE) deben hacer frente a sanciones de hasta el 4 % de sus ingresos globales anuales y cumplir con un plazo de notificación de violaciones de datos de 72 horas, de acuerdo con el Reglamento General de Protección de Datos (RGPD) .

Estas organizaciones pueden verse sujetas a sanciones adicionales en virtud de las leyes estatales de California, Nueva York y Texas. El objetivo es garantizar una mayor especificidad y una aplicación más estricta de la normativa.

### ¿Cómo influyen la reputación y la confianza en las prioridades de seguridad?

La confianza de los pacientes es más que una cuestión empresarial: es un requisito clínico imprescindible. Las organizaciones que sufren violaciones de seguridad de gran repercusión pierden pacientes, tienen dificultades para contratar médicos y sufren un daño a largo plazo en su imagen de marca.

Por lo tanto, la seguridad se ha convertido en un factor competitivo en los mercados sanitarios. Las empresas sanitarias que aspiran a crecer o que establecen colaboraciones con otras entidades deben centrarse en la seguridad, ya que las partes interesadas externas le prestan ahora especial atención.

## ¿Cuáles son las ciberamenazas más comunes a las que se enfrentan los hospitales en la actualidad?

Las ciberamenazas más comunes en el sector sanitario son el ransomware, el phishing, las amenazas internas, las vulnerabilidades de los dispositivos médicos y las brechas de seguridad de terceros.

Estos ataques de ciberchantaje ponen en peligro la seguridad de los pacientes. Como consecuencia, estos ataques interrumpen los cuidados vitales y las operaciones de urgencias que son fundamentales para la vida. En concreto, estos ataques pueden bloquear el acceso a las historias clínicas electrónicas y dejar fuera de servicio equipos de diagnóstico, como las resonancias magnéticas (RM) y las tomografías computarizadas (TC).

Según la [Asociación Americana de Hospitales](https://www.aha.org/news/headline/2026-04-10-fbi-health-care-was-top-target-ransomware-other-cyberthreats-2025)
, la sanidad y los servicios públicos se encontraban entre los sectores más afectados por las amenazas cibernéticas en 2025. En ese año se registraron 460 ataques de ransomware y 182 filtraciones de datos en este sector.

### ¿Qué papel desempeñan el phishing y la ingeniería social en las filtraciones de datos del sector sanitario?

[El phishing es la principal amenaza para la ciberseguridad en el sector sanitario](https://www.himss.org/resources/phishing-healthcare-how-not-be-victim-checklist/)
, lo que socava la confianza y la cultura de la capacidad de respuesta en las organizaciones. El problema es que las aseguradoras, los representantes farmacéuticos y los socios de derivación envían un gran volumen de correos electrónicos a los profesionales sanitarios.

Por lo tanto, estos correos electrónicos ofrecen numerosas oportunidades a los atacantes para acceder a los historiales médicos. Además, los atacantes utilizan ahora herramientas de inteligencia artificial para generar textos sin errores que dificultan a los destinatarios identificar el fraude.

Otra variante del phishing en el sector sanitario que está en auge es el phishing por voz (vishing). Se trata de una estafa telefónica que los piratas informáticos utilizan para suplantar la identidad de personas u organizaciones de confianza con el fin de que la víctima revele información confidencial de los pacientes.

El informe M-Trends de Mandiant muestra que el vishing ha superado oficialmente al phishing tradicional por correo electrónico para convertirse en una de las principales variantes de amenaza, representando el 11 % de las intrusiones exitosas, frente al apenas 6 % atribuible al phishing por correo electrónico.

### ¿En qué se diferencian las amenazas internas de los ataques externos en el ámbito sanitario?

La mayoría de los incidentes internos se deben a la curiosidad o al descuido, más que a la malicia. Por ejemplo, una enfermera puede consultar el historial de un vecino, un codificador de facturación puede acceder al expediente de un paciente famoso o un médico puede revisar el expediente de un familiar. Estos incidentes infringen la HIPAA sin intención perjudicial.

En cuanto a la diferencia entre los ataques internos y los externos, la seguridad de los límites de la red no puede detener a los usuarios internos, ya que estos disponen de credenciales legítimas y acceso a sistemas autorizados. Las organizaciones sanitarias pueden detectar este tipo de amenazas con la ayuda del análisis de comportamiento, que permite identificar patrones de acceso inusuales que no son propios de la función clínica del usuario.

### ¿Qué amenazas emergentes deben prever los hospitales?

Los hospitales deben anticiparse a nuevos ataques basados en la inteligencia artificial (IA). Por ejemplo, las organizaciones sanitarias reciben cada vez con mayor frecuencia mensajes de texto convincentes y personalizados generados por IA generativa. Además, los atacantes recurren a la clonación de voz mediante IA para utilizar el phishing de voz (vishing) con el fin de suplantar la identidad de compañeros conocidos o del personal de TI. Los atacantes suelen tener éxito porque los dispositivos médicos conectados (el Internet de las Cosas Médicas, o IoMT) presentan vulnerabilidades de seguridad críticas, como sistemas operativos obsoletos y comunicaciones sin cifrar.

Una bomba de infusión o un sistema de diagnóstico por imagen comprometidos permiten a los piratas informáticos lanzar un ataque y, a continuación, pasar desde el dispositivo comprometido a los sistemas de historias clínicas electrónicas. También existen actores estatales, como grupos que operan desde Rusia, China, Corea del Norte e Irán, que actúan en el sector sanitario. Concretamente, se centran en los datos sanitarios y tratan de perturbar las infraestructuras críticas de este sector.

### ¿Qué suelen darse cuenta demasiado tarde las organizaciones sanitarias tras un ataque de ransomware?

Las organizaciones sanitarias no suelen darse cuenta de que pagar el rescate no resuelve los problemas relacionados con la atención al paciente, y de que los atacantes pueden haber comprometido ya sus copias de seguridad de datos.

Por eso es fundamental estar técnicamente preparados para combatir los ataques de ransomware y disponer de los conocimientos de seguridad adecuados sobre las medidas que deben adoptarse para prevenir la pérdida o la filtración de datos antes de que sea demasiado tarde.

### ¿Por qué los hospitales que cumplen con los requisitos técnicos siguen sufriendo fallos de seguridad importantes?

Las organizaciones sanitarias que cumplen con los requisitos técnicos siguen enfrentándose a fallos importantes de ciberseguridad porque la documentación de cumplimiento y las medidas de seguridad de los datos son prácticas de seguridad reales. Y, a menudo, ambas cosas no van de la mano en el sector sanitario.

Concretamente, existe una peligrosa brecha entre las medidas legales que una organización sanitaria debe seguir para superar una auditoría (cumplimiento) y las medidas reales que adopta para evitar o detener las amenazas cibernéticas del mundo real (seguridad).

Por ejemplo, un hospital puede cumplir con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). En concreto, puede documentar cada paso y evaluar los riesgos, así como formar a su personal. Sin embargo, esto no significa que el hospital proteja plenamente sus sistemas y credenciales.

### ¿Cómo es posible que los flujos de trabajo de urgencias eludan silenciosamente los controles de seguridad de la información sanitaria?

Los supervisores suelen tolerar una elusión sistemática provocada por la urgencia clínica. ¿Por qué? Porque las estrictas medidas de seguridad que el personal debe seguir durante las emergencias ponen en peligro la vida de los pacientes.

Concretamente, cuando los profesionales sanitarios no pueden acceder al historial de alergias de un paciente mediante la autenticación habitual, eluden los estrictos controles para prestar atención inmediata.

Con el paso del tiempo, el personal sigue los mismos pasos para acceder a los historiales, y el intercambio de documentos se convierte en un procedimiento habitual, lo que sienta las bases para ataques permanentes.

### ¿Por qué los fallos en las copias de seguridad y la recuperación suelen ser más perjudiciales que la brecha inicial?

Los fallos en las copias de seguridad y la recuperación suelen causar más daño que la brecha inicial, ya que el fallo en la copia de seguridad elimina la opción de recuperación. Como resultado, un incidente grave puede convertirse en un auténtico incidente operativo de gran envergadura para una organización sanitaria. He aquí el motivo.

Los atacantes que tienen como objetivo los sistemas de copia de seguridad de una organización sanitaria suelen tener éxito. Cuando las organizaciones cifran simultáneamente los sistemas principales y las copias de seguridad, la elección suele ser entre pagar lo que exigen los piratas informáticos o reconstruir todo desde cero a lo largo de varias semanas.

Durante este periodo de crisis, aumentan las tasas de error en las operaciones clínicas, los profesionales sanitarios cancelan intervenciones y el trabajo puede exigir jornadas insostenibles para gestionar tanto la atención al paciente como las soluciones provisionales de los sistemas.

## ¿Cómo complican la protección la infraestructura heredada y la seguridad de los dispositivos médicos?

La infraestructura heredada y la seguridad de los dispositivos médicos complican la protección debido a sistemas obsoletos y sin soporte técnico. ¿Por qué? Porque estos sistemas no pueden proporcionar una protección adecuada frente a las amenazas modernas de ransomware en el sector sanitario.

Las organizaciones sanitarias siguen utilizando estos dispositivos porque su sustitución conlleva mayores costes y afecta a la utilidad clínica.

En consecuencia, se convierten en un objetivo de alto riesgo para los ataques informáticos, incluidos el ransomware, las filtraciones de datos y las interrupciones operativas.

### ¿Qué retos plantean los sistemas de historias clínicas electrónicas (EHR) obsoletos y las aplicaciones heredadas?

Las empresas sanitarias a menudo no pueden actualizar las aplicaciones de los sistemas heredados ni los sistemas de historias clínicas electrónicas porque las operaciones clínicas deben funcionar sin interrupciones.

Además, si una organización sanitaria sustituye un sistema heredado que lleva años en funcionamiento, debe validar el nuevo sistema, volver a formar a su personal y migrar los datos. Y esto no ocurre con frecuencia.

En consecuencia, las organizaciones se vuelven vulnerables a las ciberamenazas.

### ¿Cómo están creando nuevas superficies de ataque los dispositivos médicos conectados y el IoT?

Las organizaciones sanitarias suelen sufrir filtraciones de datos debido a las vulnerabilidades de los dispositivos del Internet de las Cosas Médicas (IoMT), como las bombas de infusión y los monitores de pacientes.

En concreto, los atacantes pueden alterar de forma remota las dosis de las bombas de insulina e interferir en las comunicaciones de los marcapasos.

Por eso, [la Administración de Alimentos y Medicamentos de EE. UU. (FDA) ha establecido requisitos de ciberseguridad más estrictos para los nuevos dispositivos sanitarios](https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-management-system-considerations-and-content-premarket)
. Esto se recoge en la sección 524B de la Ley Federal de Alimentos, Medicamentos y Cosméticos.

Por ejemplo, [los requisitos de ciberseguridad de la FDA exigen](https://www.fda.gov/medical-devices/digital-health-center-excellence/cybersecurity)
 a los fabricantes que faciliten un inventario detallado y legible por máquina de cada componente de software del dispositivo. Concretamente, si un monitor cardíaco funciona mediante una biblioteca de comunicación Bluetooth de código abierto, el proveedor sanitario debe documentar esa versión específica y sus dependencias conocidas, de modo que no puedan pasar desapercibidas las vulnerabilidades ocultas.

### ¿Qué retos en la gestión de vulnerabilidades impiden la aplicación oportuna de parches en entornos clínicos?

Para aplicar parches a un servidor clínico, las organizaciones sanitarias deben evaluar los riesgos, enviar notificaciones a los médicos, organizar la cobertura de respaldo y seguir los procedimientos documentados para los periodos de inactividad. Todos estos pasos deben ejecutarse sin cometer errores clínicos.

En comparación con otros sectores, la aplicación de parches en el ámbito sanitario es más lenta. Además, se tarda más en dar a conocer una vulnerabilidad y en aplicar el parche correspondiente para protegerse contra las ciberamenazas.

Los atacantes aprovechan con éxito las vulnerabilidades conocidas y subsanables porque las organizaciones sanitarias no pueden subsanarlas en un plazo adecuado desde el punto de vista de la seguridad.

### ¿Cómo afectan las relaciones con los proveedores y el mantenimiento a cargo de terceros a la seguridad de los dispositivos?

Los proveedores de equipos médicos pueden acceder de forma remota a los dispositivos con fines de diagnóstico, para actualizar el firmware o para supervisar el rendimiento. Dicho acceso contribuye al buen funcionamiento de las operaciones clínicas, pero puede suponer un reto en materia de seguridad. Por ello, está aumentando en todo el mundo el número de personas afectadas por ataques dirigidos a socios comerciales externos del sector sanitario.

Y es que, cuando un tercero ha finalizado su colaboración con una organización sanitaria, los privilegios de acceso concedidos con fines diagnósticos específicos no se extinguen.

## ¿Qué realidades operativas ocultas hacen que la seguridad de los datos en el sector sanitario resulte especialmente difícil?

La seguridad de los datos en el sector sanitario presenta dificultades específicas, ya que está asociada a un conflicto constante entre la seguridad de los datos sanitarios y la seguridad de las personas.

Concretamente, este conflicto se da entre la necesidad de proteger los sistemas frente a las amenazas y la de permitir que todo el mundo tenga acceso inmediato a los historiales médicos en situaciones de emergencia.

### ¿Por qué los hospitales no pueden simplemente «bloquearlo todo» como hacen las empresas tradicionales?

Las organizaciones sanitarias a menudo no pueden bloquearlo todo como hacen algunas empresas tradicionales cuando se enfrentan a una ciberamenaza. Esto se debe a que las restricciones de seguridad pueden causar daños a los pacientes. En un entorno empresarial, las restricciones de seguridad pueden suponer inconvenientes para los empleados.

Cuando los profesionales sanitarios no pueden acceder al historial de alergias de un paciente en una emergencia debido a los controles de acceso, esto puede poner en peligro la vida del paciente. Por lo tanto, los controles de seguridad en las organizaciones sanitarias deben diseñarse teniendo en cuenta la realidad clínica. De lo contrario, si existe una restricción de acceso inaceptable, los profesionales clínicos eludirán los requisitos de control.

### ¿Cómo la urgencia de los profesionales clínicos, la fatiga por alarmas y las estaciones de trabajo compartidas generan brechas de seguridad?

Cuando los profesionales clínicos están ocupados con varios pacientes en estado crítico y perder un segundo puede dar lugar a un incidente operativo grave, no siguen los procedimientos de seguridad: se centran únicamente en salvar vidas.

Es en estos momentos cuando las estaciones de trabajo compartidas entre más de 15 profesionales sanitarios por turno pueden provocar graves problemas de seguridad, como el acceso a datos confidenciales de los pacientes y la piratería informática. Esto se debe a que la mayoría de las arquitecturas de seguridad se basan en el modelo de autenticación individual.

Por último, la fatiga por alarmas es otro factor que genera brechas de seguridad en las organizaciones sanitarias. Y es que, cuando los profesionales sanitarios reciben solicitudes de autenticación, avisos de caducidad de sesión y mensajes de denegación de acceso, los consideran una carga adicional que deben ignorar.

### ¿Por qué los entornos clínicos que funcionan las 24 horas del día, los 7 días de la semana, complican la aplicación de la ciberseguridad?

Los hospitales funcionan las 24 horas del día, los 7 días de la semana, algo que no puede decirse del personal de seguridad. Las operaciones de seguridad no proporcionan una cobertura completa durante los turnos de noche. Además, la capacidad analítica frente a las ciberamenazas se reduce. Y los atacantes de ransomware sofisticados son muy conscientes de ello.

Los hackers atacan los centros sanitarios a primera hora de la mañana porque la respuesta frente a las ciberamenazas alcanza su nivel mínimo y los profesionales sanitarios están fatigados. Por ejemplo, un ataque de ransomware a las 3 de la madrugada en un hospital tiene consecuencias más graves que el mismo incidente a las 10 de la mañana, incluso con los mismos controles técnicos implantados.

### ¿Qué factores relacionados con el personal y los factores humanos aumentan el riesgo de seguridad en los sistemas sanitarios?

Entre los factores relacionados con el personal y los factores humanos que aumentan los riesgos de seguridad en los sistemas sanitarios se incluyen los atajos motivados por el agotamiento, la falta de concienciación cibernética y el estrés en el lugar de trabajo.

## ¿Cómo afectan la rotación de personal y la escasez de personal a la postura de seguridad?

Si una organización sanitaria presenta altas tasas de rotación, las cuentas de los empleados que abandonan la empresa suelen permanecer activas tras su marcha. Y ahí es donde intervienen los atacantes para acceder a dichas cuentas. Además, los antiguos empleados también pueden aprovecharlas.

¿Y qué ocurre con los equipos con falta de personal? Estos tienen dificultades para mantener las revisiones de acceso, la supervisión y la gestión adecuada de las tareas administrativas y los procedimientos de seguridad. Como resultado, las organizaciones sanitarias se enfrentan a una protección de seguridad inadecuada frente a las amenazas cibernéticas.

### ¿Por qué el personal clínico elude en ocasiones los controles de seguridad y cómo puede abordarse este problema?

El personal clínico elude los controles de seguridad en aquellos casos en los que la vida de los pacientes puede verse en peligro debido a medidas de seguridad que requieren demasiado tiempo. Este es uno de los ejemplos.

Concretamente, si la urgencia clínica es inmediata y el profesional sanitario debe seguir ciertos pasos relacionados con la seguridad para acceder a los historiales médicos, se salta dichos pasos.

Y esto tiene que ver con el diseño y la disciplina. Por lo tanto, se debe eliminar la fricción en el flujo de trabajo en lugar de sancionar el comportamiento de eludir los controles. Por ejemplo, las organizaciones sanitarias deberían considerar el uso del inicio de sesión único (SSO) para la autenticación y el acceso basado en roles. Y es que las vías seguras y eficientes eliminan la fricción, haciendo que desaparezcan las soluciones alternativas.

### ¿Cómo pueden los profesionales sanitarios contribuir a la concienciación sobre la seguridad de los datos y reducir el error humano?

La formación en seguridad que se imparte trimestralmente, diseñada para roles y escenarios específicos, mejora drásticamente la concienciación sobre la seguridad y reduce el error humano, algo que no puede decirse de la formación genérica anual sobre cumplimiento normativo.

Los hospitales que obtienen buenos resultados organizan simulacros de phishing basados en pretextos específicos del ámbito sanitario. Por ejemplo, diseñan estas simulaciones en torno a notificaciones urgentes relacionadas con los seguros, correos electrónicos sobre actualizaciones normativas y enlaces de derivación médica.

Dicha formación debería ayudar al personal clínico a comprender que un fallo de seguridad puede causar daños a los pacientes, más allá de los problemas normativos.

### ¿Qué modelos de gobernanza y políticas de seguridad reducen los riesgos de seguridad provocados por el factor humano?

Las organizaciones sanitarias deben aplicar una gobernanza eficaz para reducir los riesgos de seguridad provocados por el factor humano. Dicha gobernanza debe basarse en una política redactada en lenguaje clínico, en la aplicación coherente de medidas de seguridad aplicables a todos los miembros del personal, independientemente de su antigüedad, y en una cultura en la que las preocupaciones en materia de seguridad se aborden de inmediato.

Si las políticas solo sirven para cumplir los requisitos de cumplimiento normativo, pero el personal clínico no es capaz de comprenderlas, no se convertirán en controles operativos.

### ¿De qué manera la interoperabilidad y el intercambio de datos amplifican los retos de seguridad?

La interoperabilidad y el intercambio de datos exponen a las organizaciones sanitarias a un mayor riesgo de filtraciones de datos. Como consecuencia, los retos de seguridad aumentan y se vuelven más complejos.

### ¿Qué riesgos surgen cuando las organizaciones sanitarias intercambian información de pacientes entre instituciones?

Cuando las organizaciones sanitarias intercambian datos de pacientes, crean un punto potencial de vulnerabilidad. Y cada sistema receptor se convierte en una fuente potencial de fuga de datos.

La seguridad de los datos compartidos depende del sistema más débil de la red de intercambio.

Y, a menudo, este sistema cuenta con recursos de seguridad mínimos y carece de capacidad para hacer frente a las ciberamenazas modernas. El problema se complica cuando se trata del intercambio de datos entre grandes sistemas sanitarios.

Cuando los atacantes se centran en los intercambios de información sanitaria, los centros de intercambio de datos y los agregadores de datos, todas las organizaciones que comparten información con ellos se ven afectadas. Esto genera responsabilidades y obligaciones de notificación que no se limitan únicamente a la entidad afectada por la filtración.

### ¿Cómo cambian las API, el estándar FHIR y las aplicaciones de terceros el panorama de la seguridad?

[Fast Healthcare Interoperability Resources](https://www.nlm.nih.gov/oet/ed/healthdatastandards/03-600.html)
 Las API basadas en la [Ley de Curas del Siglo XXI](https://www.fda.gov/regulatory-information/selected-amendments-fdc-act/21st-century-cures-act)
 han ampliado el intercambio de datos y el número de aplicaciones de terceros relacionadas con los pacientes.

El estándar Fast Healthcare Interoperability Resources (FHIR) establece cómo utilizar herramientas y normas web comunes para crear la interconectividad de los sistemas sanitarios.

La Ley de Curas del Siglo XXI acelera el desarrollo de productos médicos y proporciona a los pacientes nuevas innovaciones y avances para una asistencia sanitaria más rápida y eficiente.

Cada [interfaz de programación de aplicaciones (API)](https://aws.amazon.com/what-is/api/)
, como mecanismo que permite a los componentes de software comunicarse entre sí a través de protocolos y definiciones de seguridad específicos, actúa como vector de acceso en lo que respecta a la ciberseguridad sanitaria. Esto se debe a que las aplicaciones de terceros pueden disponer de recursos de seguridad limitados y carecer de una supervisión de seguridad significativa.

Cuando la proliferación de las API sanitarias crea una superficie de ataque, no existe un ecosistema de aplicaciones externas debidamente regulado que proteja los datos de los pacientes que circulan entre los sistemas.

### ¿Qué preguntas deben plantear los hospitales sobre la gestión de datos por parte de los proveedores y la seguridad de la integración?

Los hospitales deben formular preguntas específicas sobre la gestión de datos por parte de los proveedores y la seguridad de la integración que les ayuden a proteger de forma segura los datos de los pacientes. Las respuestas a las siguientes preguntas principales ayudan a las organizaciones sanitarias a tener una imagen más clara y precisa de las cuestiones relacionadas con los proveedores, en lugar de limitarse a confiar en los [acuerdos de socio comercial](https://www.hhs.gov/hipaa/for-professionals/covered-entities/sample-business-associate-agreement-provisions/index.html)
:

- «¿A qué categorías específicas de [información sanitaria protegida (PHI)](https://www.ncbi.nlm.nih.gov/books/NBK553131/) tiene acceso el proveedor? ¿Dónde se almacena?»
- «¿Quién, dentro de la organización del proveedor, tiene acceso, y bajo qué modelo de control de acceso?»
- «¿Son las credenciales de integración estáticas o se rotan periódicamente?»
- «¿Utiliza la integración el principio de acceso con el mínimo privilegio?»
- «¿Qué registros existen por parte del proveedor, y están disponibles para la auditoría del hospital?»
- «¿Cuál es el plazo de notificación de violaciones de seguridad del proveedor?»
- «¿Se ha probado el plan de respuesta ante incidentes del proveedor?»
- «¿Cuál es su historial de incidentes de seguridad, incluidos aquellos que no alcanzaron los umbrales de notificación?»

### ¿Cómo pueden las organizaciones equilibrar el intercambio de datos para la coordinación asistencial con la privacidad y la seguridad?

Las organizaciones sanitarias pueden lograr un equilibrio entre el intercambio de datos para la coordinación asistencial y la seguridad mediante la minimización de datos.

En concreto, esto significa que deben compartir únicamente la información mínima necesaria para casos clínicos específicos. Además, deben regular estrictamente el acceso a dicha información.

| Ámbito de seguridad | Medida clave | Consideraciones específicas del sector sanitario |
| --- | --- | --- |
| Control de acceso | Autenticación multifactorial (MFA) + Acceso basado en roles | Debe adaptarse a las estaciones de trabajo compartidas y a la urgencia clínica |
| Seguridad de red | Segmentación + Modelo «Zero Trust» | Aislar los activos tecnológicos clínicos sin interrumpir los flujos de trabajo clínicos |
| Protección de terminales | EDR/XDR | Es posible que los dispositivos clínicos heredados no admitan la instalación de agentes |
| Protección de datos | Cifrado en reposo y en tránsito | La actualización propuesta de la HIPAA haría obligatorio el cifrado |
| Copia de seguridad y recuperación | Copias de seguridad inmutables y aisladas físicamente | El tiempo de recuperación debe cumplir los requisitos operativos clínicos |
| Supervisión | SIEM con análisis de comportamiento | Debe ajustarse a los patrones de referencia de los flujos de trabajo clínicos |
| Gestión de proveedores | Acuerdos de negocio (BAA) y revisiones periódicas de acceso | El acceso de los proveedores es necesario, pero se suele sobredimensionar |
| Respuesta ante incidentes | Guiones de actuación probados con procedimientos para el tiempo de inactividad clínica | Las operaciones clínicas no pueden detenerse para dar respuesta a un incidente de seguridad |

Las organizaciones exitosas se basan en el intercambio de datos con fines específicos y aplican de forma automatizada las políticas de intercambio en el nivel de la API. Esto les ayuda a establecer una interconectividad que garantiza la protección de los datos de los pacientes mediante un acceso restringido a sus historiales.

### ¿A qué retos normativos, de cumplimiento y de privacidad se enfrentan las organizaciones sanitarias?

Entre los principales retos normativos, de cumplimiento y de privacidad a los que se enfrentan las organizaciones sanitarias se incluyen la protección de los datos sanitarios sensibles frente a ciberataques, así como el cumplimiento de marcos legales como [la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)](https://www.cdc.gov/phlp/php/resources/health-insurance-portability-and-accountability-act-of-1996-hipaa.html)
 y [el Reglamento General de Protección de Datos (RGPD)](https://gdpr-info.eu/)
.

Otro reto importante es la gestión e integración de los dispositivos médicos de IoT y la inteligencia artificial asociados a la [Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH)](https://www.hhs.gov/hipaa/for-professionals/special-topics/hitech-act-enforcement-interim-final-rule/index.html)
.

### ¿En qué medida se solapan la HIPAA, la HITECH y el RGPD para las organizaciones sanitarias?

La Ley de Portabilidad y Responsabilidad del Seguro Médico establece los requisitos para la protección de la información sanitaria de los pacientes y la notificación de violaciones de seguridad.

La Ley de Tecnología de la Información para la Salud Económica y Clínica establece los requisitos que refuerzan la aplicación de la protección de los datos sanitarios e imponen sanciones pecuniarias civiles. Las organizaciones sanitarias deben pagar hasta 1,9 millones de dólares por categoría de infracción al año en caso de negligencia deliberada.

El Reglamento General de Protección de Datos (RGPD) se aplica a las organizaciones sanitarias que tratan datos de residentes de la Unión Europea (UE). Esta normativa añade requisitos de consentimiento más estrictos, obliga a las organizaciones a notificar a las autoridades de control cualquier violación de seguridad en un plazo de 72 horas e impone sanciones de hasta el 4 % de la facturación anual global.

En caso de solapamiento de los requisitos, las organizaciones sanitarias deben cumplir las normas de seguridad de los datos sanitarios más estrictas de entre los requisitos mencionados.

### ¿Cuáles son las implicaciones operativas y legales de una violación de la seguridad de los datos sanitarios?

Una violación de datos sanitarios puede provocar un deterioro inmediato de los sistemas afectados. Los miembros del personal dejan de dedicarse a la atención sanitaria para pasar a formar parte del equipo de gestión de incidentes. La dirección se centra más en la respuesta a la crisis que en la gestión de la organización.

Desde el punto de vista jurídico, las investigaciones y las acciones de los fiscales generales estatales pueden prolongarse durante años. Cada vez más, los tribunales han admitido teorías de responsabilidad ampliadas, como el valor inherente de la privacidad y el perjuicio clínico derivado de la corrupción de los historiales médicos. Esto ha reducido el umbral para la certificación de demandas colectivas y la exposición financiera.

¿Qué medidas de seguridad y qué buenas prácticas en materia de seguridad de la información sanitaria mejoran la ciberresiliencia en el sector sanitario?

Las organizaciones sanitarias pueden reforzar su resiliencia en materia de protección de datos con la ayuda de la arquitectura [Zero Trust](https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=930420)
. El modelo «Zero Trust» implica que no se debe confiar en nadie por defecto, ni dentro ni fuera de la red.

Además, las organizaciones deben utilizar la autenticación multifactorial, segmentar los dispositivos médicos conectados al IoT, realizar simulacros de copias de seguridad periódicos y aplicar una supervisión de amenazas mejorada mediante IA para garantizar una atención ininterrumpida al paciente.

### ¿Qué riesgos legales se derivan de unos controles de seguridad inadecuados o de una respuesta tardía ante una violación de datos?

De acuerdo con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), las organizaciones disponen de 60 días tras el descubrimiento de una violación de datos.

Si una organización no puede demostrar un proceso de detección claro y documentado, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos y los tribunales en los litigios civiles aplican inferencias adversas. Entre ellas pueden figurar la «inferencia de presunto incumplimiento del plazo» y la «inferencia de negligencia deliberada».

La negligencia deliberada consiste en actuar de forma consciente e intencionada de manera que se provoque un incumplimiento. Asimismo, se refiere a mostrar una indiferencia temeraria hacia las obligaciones legales, profesionales o contractuales.

La «presunción de incumplimiento del plazo» se refiere a la falta de actuación o de entrega de información dentro de un plazo aceptable o exigido por la ley.

Como consecuencia, la normativa sanitaria estatal impone un plazo límite de 30 días, lo que puede suponer un problema en relación con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA).

## ¿Qué soluciones de seguridad de los datos sanitarios pueden mitigar las amenazas cibernéticas actuales?

Para mitigar las amenazas cibernéticas actuales en el sector sanitario, incluidos el ransomware, el phishing y las vulnerabilidades de los dispositivos médicos, las organizaciones sanitarias deben implementar una estrategia de defensa en varias capas basada en medidas como la evaluación de riesgos y la modelización de amenazas.

A continuación se presenta un modelo de madurez de la seguridad hospitalaria:

| Nivel | Características |
| --- | --- |
| Básico | Reactivo |
| Intermedio | Segmentación |
| Avanzado | Confianza cero |
| Maduro | Detección automatizada |

Veamos cómo pueden ayudar estas medidas y otras estrategias comunes de seguridad de los datos sanitarios.

### ¿Cómo se pueden adaptar las evaluaciones de riesgos y la modelización de amenazas a los hospitales?

[La evaluación de riesgos sanitarios](https://www.who.int/emergencies/risk-assessment)
 ayuda a las organizaciones sanitarias a evaluar el impacto clínico que tienen los controles de seguridad sobre posibles amenazas y a valorar vulnerabilidades, como el acceso sin restricciones a la información sanitaria y el intercambio de datos de pacientes.

[La modelización de amenazas](https://www.cisco.com/site/us/en/learn/topics/security/what-is-threat-modeling.html#tabs-9da71fbd27-item-1288c79d71-tab)
 es un proceso proactivo de ciberseguridad que ayuda a las organizaciones sanitarias a identificar, analizar y priorizar posibles amenazas de seguridad para un sistema antes de que se produzca un ataque. La modelización de amenazas debe basarse en escenarios específicos, desde el phishing hasta el robo de credenciales.

### ¿Qué papel desempeñan la segmentación de redes, la microsegmentación y el modelo «zero trust» en el sector sanitario?

[La segmentación de redes](https://www.cisco.com/c/en_in/products/security/what-is-network-segmentation.html)
 es una inversión en seguridad de gran valor, ya que ayuda a las organizaciones sanitarias a evitar que una única estación de trabajo comprometida se convierta en un incidente operativo que afecte a todo el hospital. Al segmentar las redes, las organizaciones impiden que los piratas informáticos accedan a los servidores de historias clínicas electrónicas (EHR) o a la infraestructura de copias de seguridad.

[El modelo «zero trust»](https://www.nist.gov/publications/zero-trust-architecture)
 va más allá: exige la verificación de cada solicitud de acceso. Es importante destacar que el modelo «zero trust» debe diseñarse teniendo en cuenta la velocidad de autenticación y la compatibilidad con los flujos de trabajo clínicos en el sector sanitario.

### ¿Qué eficacia tienen las soluciones de detección en puntos finales, EDR y XDR en entornos clínicos?

[La detección y respuesta en puntos finales (EDR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-edr-endpoint-detection-response)
, también denominada detección y respuesta ante amenazas en puntos finales (ETDR), es una tecnología de ciberseguridad que supervisa constantemente un «punto final», como un teléfono móvil o un ordenador portátil, para eliminar las amenazas cibernéticas maliciosas.

[La detección y respuesta ampliadas (XDR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-xdr)
 es una de las tecnologías de seguridad actuales que detecta el movimiento lateral, el acceso mediante credenciales y el reconocimiento, y analiza los datos de amenazas desde los puntos finales hasta las redes, acelerando así la búsqueda y mitigación de amenazas.

Las organizaciones sanitarias que utilizan estos agentes de detección sin dejar sin supervisar los equipos sanitarios conectados a la red disfrutan de una mayor protección frente a las ciberamenazas.

### ¿Cómo pueden el cifrado y la gestión de identidades proteger la información médica protegida (PHI) y otros datos personales?

El cifrado impide que los datos sanitarios sean accesibles para usuarios no autorizados, protegiendo la información sanitaria electrónica del paciente (ePHI) en bases de datos, copias de seguridad, dispositivos portátiles y durante su tránsito entre sistemas.

[La gestión de identidades y accesos (IAM)](https://www.microsoft.com/en-us/security/business/security-101/what-is-identity-access-management-iam)
 constituye la base del cumplimiento de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA). Esta norma mínima necesaria se refiere al control de acceso basado en roles y a las revisiones periódicas de los accesos que las organizaciones sanitarias deben aplicar para proteger los datos de los pacientes.

El cifrado, combinado con la gestión de identidades y accesos, permite a las organizaciones evitar el uso no autorizado de los datos tras una filtración. Además, impide que el personal interno con privilegios excesivos acceda a la información de los pacientes o utilice credenciales comprometidas para acceder a los historiales sanitarios.

### ¿Cuál es el papel de la orquestación de la seguridad, la automatización y la planificación de la respuesta ante incidentes?

[Las plataformas de orquestación, automatización y respuesta de seguridad (SOAR)](https://www.microsoft.com/en-us/security/business/security-101/what-is-soar)
 permiten a las organizaciones sanitarias automatizar las alertas iniciales y las acciones de respuesta habituales. Esto puede incluir reducir horas de coordinación manual a minutos de ejecución automatizada.

En el sector sanitario, las plataformas de orquestación, automatización y respuesta de seguridad deben adaptarse al contexto clínico. Por ejemplo, en este ámbito, la lógica de automatización con conocimiento clínico distingue entre los distintos tipos de terminales.

Es importante destacar que los planes de respuesta ante incidentes deben ponerse a prueba en escenarios realistas. De lo contrario, quedarán en el papel. Y la toma de decisiones basada en ejercicios periódicos en condiciones de crisis simuladas permite a las organizaciones sanitarias proteger eficazmente los datos de los pacientes frente a las ciberamenazas.

## ¿Cómo se desarrolla normalmente un ataque moderno de ransomware en el sector sanitario dentro de un hospital?

A continuación se presenta un ejemplo de cronología del ataque:

**Día 1:** Un coordinador de facturación recibe un correo electrónico de phishing que se hace pasar por una notificación del seguro médico. Los atacantes roban las credenciales mediante una página de inicio de sesión falsificada. A continuación, se conectan a través de una VPN. El equipo de seguridad no recibe notificaciones de alerta porque los atacantes han utilizado credenciales válidas. Además, la dirección IP no difiere del patrón habitual de ubicación del usuario.

**Días 3–8:** El equipo de hackers identifica los controladores de dominio, los servidores de historias clínicas electrónicas y la infraestructura de copias de seguridad. Los hackers obtienen acceso privilegiado a través de estaciones de trabajo heredadas sin parches y consiguen las credenciales de administrador de dominio.

**Días 9–20:** Los hackers roban sistemáticamente los datos de los pacientes. Además, localizan los sistemas de copias de seguridad, utilizan las credenciales comprometidas para acceder a ellos y borran o cifran los datos de cara a la fase final.

**Día 21:** El ransomware afecta a los servidores de historias clínicas electrónicas, a los sistemas de imágenes y administrativos, a las estaciones de trabajo y a la infraestructura de copias de seguridad. Las operaciones clínicas pasan a realizarse en papel. El personal médico pospone las intervenciones quirúrgicas. Se ven afectadas las operaciones de las ambulancias. Los atacantes envían notas de rescate con muestras de los datos de pacientes robados y amenazan con publicarlas.

### ¿Cómo pasan los atacantes del phishing a comprometer el sistema de historias clínicas electrónicas?

Los hackers pasan del phishing a los sistemas sanitarios electrónicos robando credenciales para obtener acceso a la red. A continuación, utilizan herramientas y credenciales legítimas, consiguen acceso privilegiado a través de vulnerabilidades sin parchear o de la reutilización de credenciales, y luego obtienen acceso a las historias clínicas electrónicas mediante credenciales a nivel de dominio.

Las organizaciones sanitarias deben utilizar tecnología de búsqueda de amenazas y detección de anomalías de comportamiento para descubrir una intrusión antes de que el ransomware afecte a los sistemas.

### ¿Por qué los sistemas de copia de seguridad y la infraestructura de recuperación son cada vez más el blanco de los hackers?

Los hackers se centran cada vez más en los sistemas de copia de seguridad y la infraestructura de recuperación porque las copias de seguridad no permiten a los atacantes obtener el pago del rescate. Por eso los grupos de ransomware se centran en la destrucción de las copias de seguridad como paso estándar previo al despliegue.

Las organizaciones sanitarias disponen de copias de seguridad que los hackers a nivel de dominio pueden destruir fácilmente. Para combatir eficazmente los ataques de ransomware en el sector sanitario, los sistemas de copia de seguridad deben contar con copias aisladas físicamente (air-gapped) sin conexión de red con el entorno de producción.

Además, deben diseñarse con configuraciones de almacenamiento inalterables que los piratas informáticos no puedan modificar. Por último, las credenciales utilizadas para los sistemas de copia de seguridad deben mantenerse separadas del dominio de producción.

### ¿Qué interrupciones operativas se producen después de que los atacantes accedan a los datos sanitarios?

Una vez que los piratas informáticos acceden a la información sanitaria, la organización atacada vuelve a utilizar el papel y cancela las intervenciones programadas. También puede derivar a los pacientes de urgencias a centros vecinos.

Los centros vecinos reciben a los pacientes desviados y se enfrentan a retos inesperados, como intervenciones quirúrgicas y pruebas diagnósticas no planificadas, lo que perjudica el funcionamiento general.

Este es el alcance del impacto operativo, que se refiere al daño, el fallo o las consecuencias en cadena causadas por un único incidente, una explosión o un error del sistema.

En el sector sanitario, un solo ataque puede afectar a la atención en todo un sistema sanitario regional.

## ¿Cómo pueden las organizaciones sanitarias utilizar Bacula Systems para reforzar la resiliencia frente a la recuperación tras un ataque de ransomware?

[Bacula Systems](https://www.baculasystems.com/es/)
 ofrece soluciones de protección y recuperación de datos diseñadas para el entorno específico de amenazas a las copias de seguridad del sector sanitario. [Las soluciones de copia de seguridad de Bacula para el sector sanitario](https://www.baculasystems.com/es/respaldo-salud/)
 proporcionan resiliencia frente al ransomware basada en tres principios:

**Separación arquitectónica**: copias de seguridad aisladas físicamente (air-gapped) sin ninguna ruta de red desde el entorno de producción. Configuraciones de almacenamiento inalterables, en las que los datos de copia de seguridad no pueden ser modificados ni eliminados por los piratas informáticos, ni siquiera utilizando credenciales de administrador comprometidas.

Como resultado, Bacula elimina la capacidad de destrucción de copias de seguridad que se ha convertido en una práctica habitual entre los grupos de ransomware.

**Protección de datos conforme a la HIPAA**: cifrado [Advanced Encryption Standard](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197-upd1.pdf)
 (AES)-256 de los datos de copia de seguridad tanto en reposo como en tránsito. El AES-256 es un algoritmo de cifrado simétrico prácticamente impenetrable que utiliza una clave de 256 bits para convertir el texto sin cifrar en un texto cifrado.

Además, Bacula ofrece una gestión del acceso basada en roles para la infraestructura de copias de seguridad y un registro de auditoría exhaustivo de todas las operaciones de copia de seguridad y recuperación. De este modo, las organizaciones sanitarias disponen de la documentación necesaria para las auditorías de cumplimiento normativo y las investigaciones de infracciones.

**Capacidad de recuperación verificada**: Pruebas de integridad automatizadas para confirmar que los datos pueden restaurarse según lo programado. De este modo, las organizaciones sanitarias obtienen pruebas documentadas de la recuperabilidad de los datos dentro de los objetivos de tiempo de recuperación (RTO) clínicos exigidos para la seguridad de los pacientes.

Gracias a Bacula Systems, los sistemas operativos heredados en un entorno sanitario pueden ejecutarse en equipos clínicos junto con plataformas modernas.

Bacula proporciona a las principales plataformas de bases de datos de historias clínicas una copia de seguridad altamente segura y coherente con las aplicaciones. Como resultado, los datos restaurados pueden ser clínicamente utilizables, en lugar de estar técnicamente recuperados pero funcionalmente inutilizables.

## ¿Cómo deben prepararse las organizaciones sanitarias ante las filtraciones de datos sanitarios y los incidentes de seguridad?

Para prepararse ante las filtraciones de datos, las organizaciones sanitarias deben desarrollar una cultura de seguridad sólida. Para ello, es fundamental formar periódicamente al personal, aplicar controles de acceso estrictos —como la autenticación multifactorial— y mantener un [plan de respuesta a incidentes (IRP)](https://www.cisco.com/site/us/en/learn/topics/security/what-is-an-incident-response-plan.html#tabs-9da71fbd27-item-1288c79d71-tab)
 sometido a pruebas rigurosas que pueda ayudar a minimizar el impacto de los incidentes.

A continuación se muestra un ejemplo de lista de comprobación de ciberseguridad para el sector sanitario:

- Autenticación multifactorial (MFA) habilitada
- Pruebas de copias de seguridad completadas
- Inventario de dispositivos médicos
- Acceso de proveedores revisado
- Respuesta ante incidentes probada

### ¿Qué debe incluir el plan de respuesta ante incidentes de un hospital y quiénes deben participar en él?

Además del equipo de seguridad de la organización sanitaria, la dirección clínica también debe participar en un plan de respuesta ante incidentes eficaz. Los planes de seguridad deben basarse en un procedimiento de detección y escalado con umbrales de notificación definidos.

Asimismo, debe incluir un protocolo de interrupción del servicio clínico que establezca cómo se mantiene la atención al paciente cuando los sistemas no están disponibles. Además, el plan debe incluir un marco de comunicación que abarque la escalación interna, la notificación a las autoridades reguladoras, la notificación a los pacientes y la respuesta a los medios de comunicación.

Por último, el plan debe incluir pasos de recuperación que prioricen los sistemas según su criticidad clínica y especificar cómo deben comunicarse las organizaciones con las empresas externas de respuesta a incidentes y con los asesores jurídicos.

¿Cómo pueden las organizaciones probar los planes de respuesta sin interrumpir la atención al paciente?

Para poner a prueba los planes de respuesta ante ciberataques sin interrumpir la atención al paciente, las organizaciones sanitarias deben organizar simulacros basados en situaciones reales con el personal clave de respuesta.

Estos simulacros no deben centrarse en «¿qué dice el plan?», sino en «durante esta situación concreta a las 3 de la madrugada de un sábado, ¿qué hace usted, a quién llama y qué decisiones clínicas toma?».

Esta preparación ayuda a evitar roles de respuesta poco claros, procedimientos inadecuados ante el tiempo de inactividad y supuestos poco realistas. Es importante destacar que todos estos escenarios inadecuados y poco realistas se corrigen antes de que se produzca el incidente real, con el fin de evitar fallos durante la crisis.

### ¿Cuándo y cómo deben los hospitales recurrir a las fuerzas del orden, a los organismos reguladores y a terceros encargados de la respuesta?

La División Cibernética de la Oficina Federal de Investigación (FBI), que investiga y persigue los delitos en Internet, debe ser involucrada desde el principio en los incidentes confirmados de ransomware. Los grupos del FBI especializados en ransomware pueden disponer de herramientas de descifrado y proporcionar información sobre amenazas que sirva de base para las decisiones de respuesta.

Las organizaciones sanitarias disponen de 60 días tras el descubrimiento de la violación de seguridad para ponerse en contacto con la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. En cuanto al asesoramiento jurídico, no se debe posponer su contratación hasta después del incidente.

De este modo, la interacción entre el abogado y el cliente no resultará complicada, y las obligaciones relativas a los plazos de notificación se gestionarán fácilmente de acuerdo con la HIPAA y las leyes estatales aplicables.

Además, esta intervención oportuna puede ayudar a evitar fallos en los plazos de notificación que han dado lugar a importantes medidas coercitivas.

### ¿Cómo pueden integrarse las lecciones aprendidas tras un incidente para reforzar las defensas futuras?

Las organizaciones sanitarias deben llevar a cabo revisiones posteriores al incidente en cuestión de semanas, no de meses. Al fin y al cabo, unas revisiones eficaces y oportunas ayudan a identificar las causas subyacentes en lugar de los síntomas. Esto es importante para asignar medidas correctivas específicas a responsables concretos dentro de unos plazos determinados.

Aprender de las lecciones ayuda a las organizaciones a proteger mejor la información frente a las ciberamenazas que afectan al sector sanitario. Concretamente, los ataques de phishing que han tenido éxito pueden convertirse en lecciones sobre la frecuencia con la que las organizaciones deben formar a los miembros de su personal. O bien, un fallo en la integridad de las copias de seguridad puede enseñar a una organización cómo implementar con éxito pruebas automatizadas de restauración.

### ¿Cuáles son las barreras financieras y organizativas que impiden mejorar la seguridad?

Desde el punto de vista financiero, los presupuestos operativos restringidos, los elevados costes de corrección y la dependencia de sistemas heredados pueden suponer obstáculos para la seguridad en las organizaciones sanitarias. Desde el punto de vista organizativo, la escasez de personal especializado en ciberseguridad y las elevadas cargas de trabajo clínicas pueden provocar errores sistémicos por parte de los usuarios.

### ¿Cómo pueden los responsables del sector sanitario justificar las inversiones en seguridad ante los consejos de administración y las partes interesadas?

La inversión en seguridad abarca la seguridad de los pacientes, los resultados financieros y la reputación de la organización. En concreto, los costes incluyen las pérdidas de ingresos por tiempo de inactividad clínica derivadas del aplazamiento de intervenciones, el riesgo de sanciones normativas y los efectos sobre la reputación que repercuten en el volumen de pacientes.

Aunque la concienciación sobre la ciberdefensa crece entre las organizaciones sanitarias, la mayoría de ellas aún no destinan fondos de sus presupuestos de TI a la ciberseguridad hospitalaria.

### ¿Qué modelos existen para cuantificar el rendimiento de la inversión en seguridad en los hospitales?

La reducción prevista de pérdidas es el marco más útil para cuantificar el rendimiento de la inversión en seguridad en las organizaciones sanitarias. Ayuda a cuantificar el rendimiento de la inversión en ciberseguridad midiendo el coste relacionado con una herramienta de seguridad frente al riesgo financiero que esta elimina.

Las organizaciones que implementan controles sólidos y los documentan generan ahorros inmediatos y recurrentes que compensan parcialmente los costes de la inversión en seguridad.

### ¿Cómo retrasan los procesos de adquisición, los ciclos presupuestarios y las prioridades contrapuestas los proyectos de seguridad?

Los ciclos de inversión en el sector sanitario son anuales: se identifican en el primer año, se presupuestan en el segundo y se implementan en el tercero. Estos ciclos generan el mencionado intervalo de tres años entre la identificación de una vulnerabilidad y la aplicación de medidas correctivas.

Durante ese periodo, los atacantes se centran en explotar las vulnerabilidades dentro de las organizaciones. Y los fallos de seguridad más graves en el sector sanitario no se deben a capacidades sofisticadas, sino que son causados por ciclos presupuestarios deficientes, prioridades contrapuestas y la inercia organizativa que permitió que se explotaran las vulnerabilidades.

### ¿Qué incentivos o mecanismos de financiación pueden acelerar las mejoras de seguridad necesarias?

Por regla general, las subvenciones gubernamentales específicas, los programas de resiliencia público-privados, los incentivos normativos basados en tarifas y los fondos de innovación de doble uso aceleran las mejoras de seguridad.

Por ejemplo, las organizaciones sanitarias pueden solicitar los fondos propuestos por el Departamento de Salud y Servicios Humanos de EE. UU. procedentes del Fondo Fiduciario del Seguro Hospitalario de Medicare. En concreto, estos fondos pueden destinarse a mejoras de ciberseguridad en hospitales con grandes necesidades, como parte del marco de los [Objetivos de Rendimiento en Ciberseguridad Sanitaria](https://hhscyber.hhs.gov/cybersecurity-performance-goals.html)
.

Además, la [Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)](https://www.cisa.gov/about/cisa-central)
, la División Cibernética del FBI y el [Centro de Intercambio y Análisis de Información Sanitaria (Health-ISAC)](https://health-isac.org/)
 proporcionan inteligencia sobre amenazas, marcos de buenas prácticas y asistencia técnica.

## Preguntas frecuentes

### ¿Por qué las organizaciones sanitarias son objetivos frecuentes del ransomware a pesar de las importantes inversiones en ciberseguridad?

El sector sanitario se considera un objetivo óptimo para los atacantes de ransomware debido a los datos de gran valor que se encuentran en las organizaciones sanitarias, que merecen la pena obtener y utilizar para la extorsión. Además, el sector sanitario está asociado a la urgencia de la seguridad de la vida, lo que somete a las víctimas a la presión de pagar rápidamente. Por último, los profesionales clínicos suelen eludir los controles operativos debido a la necesidad de proporcionar atención inmediata a los pacientes.

### ¿Qué soluciones de seguridad de datos sanitarios son más eficaces contra las amenazas internas y el uso indebido de credenciales?

Las plataformas de [análisis del comportamiento de usuarios y entidades (UEBA)](https://www.microsoft.com/en-us/security/business/security-101/what-is-user-entity-behavior-analytics-ueba)
 detectan de forma más eficaz los accesos maliciosos por parte de personal interno y el uso de credenciales comprometidas. Estas soluciones técnicas revelan qué patrones son incompatibles con la función clínica de un usuario. Es importante destacar que estas plataformas deben estar adaptadas a los entornos sanitarios. Por último, también debe aplicarse una sólida gobernanza del acceso, que incluya el control de acceso basado en roles, revisiones periódicas de los accesos y la retirada inmediata de los derechos de acceso de los empleados que abandonan la organización.

### ¿Cómo deben los hospitales priorizar el orden de recuperación tras una filtración de datos sanitarios que afecte a múltiples sistemas clínicos?

El orden de recuperación debe priorizarse en función de la criticidad clínica, más que de la conveniencia. En primer lugar, las organizaciones sanitarias deben centrarse en la seguridad de los pacientes. En el marco de la restauración de los sistemas, las organizaciones deben dar prioridad a los sistemas de seguridad vital relacionados con la monitorización de pacientes, la administración de medicación y los servicios de urgencias. A continuación, viene la infraestructura de historias clínicas electrónicas (HCE). Después, los archivos de imágenes, los sistemas administrativos y, por último, los sistemas de facturación.

Sobre el autor

[https://www.linkedin.com/in/rob-morrison-3aa443/](https://www.linkedin.com/in/rob-morrison-3aa443/)

Rob Morrison es el director de marketing de Bacula Systems. Comenzó su carrera de marketing de TI con Silicon Graphics en Suiza, desempeñando con fuerza varios puestos de gestión de marketing durante casi 10 años. En los siguientes 10 años, Rob también ocupó varios puestos de gestión de marketing en JBoss, Red Hat y Pentaho, asegurando el crecimiento de la cuota de mercado de estas conocidas empresas. Se graduó en la Universidad de Plymouth y tiene una licenciatura en Medios Digitales y Comunicaciones, y completó un programa de estudios en el extranjero.

*Puestos relacionados*

[https://www.baculasystems.com/es/el-blog/soberania-digital-de-la-ue/](https://www.baculasystems.com/es/el-blog/soberania-digital-de-la-ue/)
[Soberanía digital y control de datos en la UE: lo que las empresas deben saber](https://www.baculasystems.com/es/el-blog/soberania-digital-de-la-ue/)

junio 9, 2026

[https://www.baculasystems.com/es/el-blog/copia-de-seguridad-y-restauracion-de-intersystems-iris-para-garantizar-la-integridad-de-la-base-de-datos/](https://www.baculasystems.com/es/el-blog/copia-de-seguridad-y-restauracion-de-intersystems-iris-para-garantizar-la-integridad-de-la-base-de-datos/)
[Copia de seguridad y restauración de InterSystems IRIS para garantizar la integridad de la base de datos](https://www.baculasystems.com/es/el-blog/copia-de-seguridad-y-restauracion-de-intersystems-iris-para-garantizar-la-integridad-de-la-base-de-datos/)

mayo 28, 2026

[https://www.baculasystems.com/es/el-blog/seguridad-de-los-historiales-clinicos-electronicos/](https://www.baculasystems.com/es/el-blog/seguridad-de-los-historiales-clinicos-electronicos/)
[Seguridad de los historiales médicos electrónicos: los datos de los pacientes, la HIPAA y las amenazas que el sector sanitario no puede permitirse ignorar](https://www.baculasystems.com/es/el-blog/seguridad-de-los-historiales-clinicos-electronicos/)

junio 17, 2026

[https://www.baculasystems.com/es/el-blog/guia-de-copias-de-seguridad-de-solaris/](https://www.baculasystems.com/es/el-blog/guia-de-copias-de-seguridad-de-solaris/)
[Guía de copias de seguridad de Solaris: Mejores prácticas y herramientas para realizar copias de seguridad de sistemas Solaris](https://www.baculasystems.com/es/el-blog/guia-de-copias-de-seguridad-de-solaris/)

julio 9, 2025

[https://www.baculasystems.com/es/el-blog/backup-inmutable/](https://www.baculasystems.com/es/el-blog/backup-inmutable/)
[¿Qué es un backup inmutable? Unos backups inmutables como medida de seguridad de los datos](https://www.baculasystems.com/es/el-blog/backup-inmutable/)

febrero 6, 2024

[https://www.baculasystems.com/es/el-blog/iso-27001-recuperacion-de-copias-de-seguridad/](https://www.baculasystems.com/es/el-blog/iso-27001-recuperacion-de-copias-de-seguridad/)
[Implantación de copias de seguridad y recuperación de datos ISO 27001: Guía completa de requisitos](https://www.baculasystems.com/es/el-blog/iso-27001-recuperacion-de-copias-de-seguridad/)

enero 10, 2025
