En los últimos años, las brechas hospitalarias han dominado los titulares y las discusiones a nivel de la junta directiva, arrojando una luz dura sobre las vulnerabilidades de ciberseguridad y privacidad dentro de entornos clínicos. Los ataques de ransomware dirigidos a hospitales se están convirtiendo en una amenaza diaria, bloqueando los registros de pacientes, interrumpiendo la prestación de atención, costando a las instituciones millones y causando daño físico y muerte a los pacientes. Sin embargo, estos incidentes y objetivos son solo la punta del iceberg.
Debajo de la superficie de estos titulares se encuentra un ecosistema de atención médica expansivo: fabricantes de dispositivos médicos, compañías farmacéuticas, aseguradoras, aplicaciones de salud móvil y más, cuyas debilidades interconectadas pueden crear una amplia superficie de ataque. Los datos, como una corriente oceánica que fluye a través de esta extensión helada, están expuestos a cada profundidad, vulnerables a piratas informáticos que navegan por las grietas invisibles.
Más allá de los hospitales: los jugadores del ecosistema en riesgo
Se ha escrito mucho sobre esto, pero vale la pena enfatizar: si bien los hospitales pueden ser los objetivos más visibles, las capas más profundas del ecosistema son igualmente peligrosas. Los fabricantes de dispositivos médicos, por ejemplo, producen equipos como marcapasos, bombas de infusión y máquinas de resonancia magnética que cada vez se conectan más a las redes hospitalarias. Estos dispositivos, aunque revolucionarios para la atención de los pacientes, a menudo funcionan con software desactualizado, carecen de cifrado básico y no tienen capacidades de monitoreo de acceso. Un proyecto de investigación conjunto de 2023 identificó 993 vulnerabilidades en 966 productos médicos, marcando un aumento del 59% año tras año desde 2022, sin embargo, los fabricantes enfrentan poca presión regulatoria para priorizar la seguridad sobre la innovación. Los piratas informáticos pueden explotar estos dispositivos como puntos de entrada, convirtiendo una herramienta que salva vidas en una puerta trasera para el ransomware.
Las compañías farmacéuticas, como otro ejemplo, poseen vastos tesoros de datos sensibles, que pueden incluir registros de ensayos clínicos, registros de pacientes, información de salud sensible y detalles de la cadena de suministro. Sus operaciones extensas y a menudo globales se basan en proveedores externos, lo que continúa amplificando los riesgos. Un incidente o violación en un gigante farmacéutico no solo puede exponer datos sensibles; puede interrumpir las cadenas de suministro de medicamentos, retrasar tratamientos y aumentar los costos humanos. Aseguradoras y empresas de tecnología sanitaria, que gestionan reclamaciones y plataformas de telesalud, añaden más capas de exposición. Cada jugador generalmente opera en un silo, priorizando sus propias operaciones sobre la seguridad colectiva, dejando el ecosistema agrietado y frágil.
Consolidación: una espada de doble filo
La rápida consolidación de la industria de la salud agrava estos riesgos. Las mega fusiones entre sistemas hospitalarios, organizaciones de investigación clínica, aseguradoras y empresas tecnológicas han creado centros de datos centralizados: fuentes increíbles de datos para promover el tratamiento y la prestación de atención, pero también objetivos principales para los ciberdelincuentes. Una sola violación en una entidad compleja, como una organización de atención médica integrada (que funciona como proveedor, pagador, farmacia y proporciona servicios a otras entidades de atención médica), puede exponer millones de registros, superando con creces el impacto de un ataque a un hospital independiente. Tome el ataque de ransomware de Change Healthcare de 2023, que, debido a la dominancia de su empresa matriz, afectó aproximadamente un tercio de las transacciones de atención médica en los Estados Unidos. La consolidación agiliza la prestación de atención pero también puede concentrar el riesgo, convirtiendo un problema localizado en una interrupción sistémica.
La centralización y la consolidación también pueden generar complacencia en el cumplimiento. Las grandes organizaciones a menudo asumen que su escala y capacidad para reclutar a los mejores profesionales equivalen a sofisticación, sin embargo, las redes extensas, a menudo ensambladas a partir de sistemas heredados y adquisiciones, pueden ocultar vulnerabilidades no parcheadas. Los jugadores más pequeños, continuamente absorbidos por la entidad más grande, aportan sus propias prácticas y políticas únicas, agregando presión a las grietas existentes. Cuanto más grande y compleja sea la entidad, más difícil será auditar y evaluar cada rincón y rendija, dejando a los actores amenazantes espacio para maniobrar.
Donde fallan la seguridad y la protección de datos
En todo este ecosistema, con frecuencia vemos uno o todos los siguientes: (1) la organización no tiene un programa efectivo de respuesta a incidentes/violaciones en su lugar; (2) la organización tiene dificultades para medir y responder a los riesgos de los proveedores y terceros; (3) los métodos de prevención de violaciones, que se presumen maduros, están fallando; y/o (4) la organización tiene dificultades para priorizar la asignación de recursos para respaldar ejercicios de respuesta a incidentes y de mesa, que serían invaluables para gestionar el ataque inevitable.
Además, demasiadas organizaciones todavía se basan en estrategias reactivas: parchear sistemas o realizar una auditoría o evaluación después de un ataque, en lugar de fortalecerlos proactivamente. Tome por ejemplo el riesgo cuando un fabricante de dispositivos médicos lanza una actualización solo cuando es obligado por los reguladores o la litigación, dejando a un hospital con equipos inseguros y sin los conocimientos técnicos o la experiencia necesarios para hacer las actualizaciones adecuadas.
Los proveedores de terceros complican el estrés. Desde proveedores de almacenamiento en la nube hasta empresas de software de facturación, estos jugadores a menudo indistintos manejan todos los tipos de datos de manera similar, sin considerar cómo se mezclan los datos o si tipos específicos de datos están asegurados de manera diferente a otros tipos. Según un informe de 2024, el número de personas afectadas por violaciones que involucran asociados comerciales aumentó un 287% de 2022 a 2023, aunque la responsabilidad por estos incidentes sigue siendo confusa. Los contratos rara vez exigen controles de seguridad específicos y estrictos, y las auditorías/evaluaciones de los proveedores suelen ser reactivas o ad hoc. La comprensible dependencia del ecosistema de la salud en la subcontratación, si bien beneficiosa de muchas maneras, ha creado una red de eslabones débiles, cada uno un posible punto de entrada para un ataque.
Como si no tuviéramos ya suficientes preocupaciones, el error humano agrega una corriente subterránea traicionera, amplificando las vulnerabilidades. Las organizaciones a menudo no proporcionan suficiente y apropiada capacitación al personal que podría ayudarles a reconocer los señuelos de phishing: el cebo que engancha a la mayoría de los ataques de ransomware. Un ejecutivo que hace clic en un enlace malicioso o un técnico que reutiliza una contraseña débil puede abrir la red a ataques, convirtiendo un simple error descuidado en una violación. La autenticación multifactor (MFA), generalmente considerada un refuerzo sólido contra tales amenazas, sigue sin utilizarse y sin aplicarse, citando en general costos, complejidad y frustración del personal. Sin una educación sólida o defensas básicas como MFA, nosotros, los humanos, creamos grietas sustanciales en el iceberg, lo que lleva a grietas más grandes que la tecnología sola no puede reparar completamente.
Soluciones: Auditoría del ecosistema
Para detener el deshielo gradual, la atención médica debe trazar un nuevo curso a través de su iceberg de ciberseguridad y protección de datos, sellando las grietas antes de que se desmoronen aún más. Las correcciones parciales no serán suficientes; el ecosistema exige un ajuste colectivo en todos los niveles: la rendición de cuentas, la aplicación, la financiación, la tecnología, la experiencia y la colaboración juegan un papel. Las auditorías integrales, las evaluaciones de cumplimiento y los ejercicios de respuesta a incidentes son esenciales, no solo de hospitales, sino de cada jugador que toca datos sensibles. Los reguladores han propuesto evaluaciones de cumplimiento anuales y una gestión regular de parches, así como requerirles que divulguen vulnerabilidades y plazos para las correcciones. Las entidades no cubiertas por HIPAA u otras normas federales deben implementar de manera proactiva controles adecuados, incluidas auditorías y evaluaciones que se extiendan a sus socios y proveedores.
En otras palabras: la industria necesita un cambio cultural hacia la seguridad y protección de datos proactivas. En lugar de tratar las políticas y controles como una casilla de verificación de cumplimiento, las organizaciones deben incorporar estas medidas en su ADN. Esto no es fácil; significa invertir en monitoreo de amenazas en tiempo real, no solo en la forense después de un ataque, y significa repensar la consolidación, quizás incentivando redes más pequeñas y descentralizadas que limiten el radio de impacto de un ataque. Acuerdos multipartitos para aprovechar la tecnología blockchain o arquitecturas de confianza cero podrían asegurar flujos de datos y minimizar los riesgos de manipulación de datos entre los jugadores, ayudando a garantizar que ningún punto único de falla deshaga el sistema.
Finalmente, la colaboración es clave. Demasiado a menudo vemos silos dentro de una sola organización, y mucho menos en todo el ecosistema. Los líderes de cumplimiento en particular —CISOs, Oficiales de Cumplimiento, Oficiales de Privacidad, Legal, Gestión de Riesgos— deben colaborar para compartir inteligencia sobre amenazas y mejores prácticas y comunicar la información de manera adecuada a la dirección y a los consejos. Recuerde: los actores amenazantes no discriminan por sector de oficina; nuestras defensas tampoco deberían.
Un llamado a la acción
El foco en las brechas hospitalarias ha expuesto una verdad que no podemos ignorar: la ciberseguridad y la protección de datos en la atención médica son tan fuertes como su grieta más débil. Los fabricantes de dispositivos médicos, las firmas farmacéuticas, la tecnología sanitaria, los fondos de capital privado, las organizaciones de investigación y los sistemas consolidados juegan un papel en las vulnerabilidades, y sus deficiencias pueden extenderse, poniendo en peligro los datos y la confianza de los pacientes. Debemos adoptar un enfoque que considere y respete el ecosistema, que incluya la auditoría y evaluación de nuestra propia organización, así como de nuestros socios y proveedores, que abarque medidas proactivas en todos los servicios y que fomente la colaboración. Podemos ayudar a abordar las grietas antes de que llegue la próxima ola. Las apuestas —la privacidad, la prestación de atención y las vidas— no podrían ser más altas.