Con más de 1,700 incidentes en un año, los expertos advierten interrupciones potencialmente mortales
Por Kenneth Araullo | 27 de junio del 2025
Los desafíos de seguridad cibernética en el sector del cuidado de la salud están aumentando. En los últimos años, la industria ha experimentado más de 1,700 incidentes de ataques cibernéticos, un fuerte aumento de los 1,378 del año pasado.
Estos incidentes han abarcado una variedad de tipos de proveedores que incluyen servicios de radiología, farmacias y firmas de transporte médico, destacando la amplia vulnerabilidad de la infraestructura digital del sector.
El Dr. Anjali Camara, vicepresidente senior de Amwins en Chicago, expresó que el sector continúa llamando la atención de los criminales cibernéticos debido al valor y la sensibilidad que tiene la información, así como su dependencia de los sistemas interconectados.
“La atención médica permanece como un objetivo importante para los ataques cibernéticos y de secuestro de información,” expresó.
Camara explicó que muchos ataques involucran tácticas como el phishing, el secuestro de información y malware, los cuales pueden comprometer sistemas importantes e información sensible. Pero más allá del robo o la exposición de la información, ella destacó las implicaciones potencialmente amenazantes de las interrupciones operacionales provocadas por los secuestros de información.
“Un ataque de secuestro de información que apaga los sistemas tiene el potencial no solo para retrasar el cuidado crítico, sino que también provocar la omisión de medicamentos, dosis incorrectas y hasta la pérdida de la vida,” expresó.
Ella enfatizó que dichos eventos pueden extenderse hacia toda la organización, afectando tanto los servicios clínicos como las funciones administrativas. Como resultado, la necesidad de una higiene cibernética fuerte y una estructura de respuesta preparada es más importante que nunca.
“Las empresas deben adoptar medidas de seguridad cibernéticas que incluyan entrenamiento de los empleados, planes de respuesta a incidentes y compra de una póliza de seguros cibernética,” expresó Camara.
Coberturas en evolución contra amenazas emergentes
Según Camara, el seguro cibernético ha surgido como un componente fundamental de la defensa de una organización. La cobertura generalmente incluye protección financiera relacionada a la recuperación de información, gastos legales y reclamaciones de responsabilidad provocadas por las brechas. Pero cada vez más, las pólizas ofrecen soporte adicional aún antes de que ocurra un incidente.
“Las pólizas generalmente ofrecen recursos para la gestión de riesgos, la planificación de la respuesta a incidentes y el acceso a expertos en seguridad cibernética para ayudar a disminuir futuras amenazas,” expresó.
Ella destacó que a pesar de que la cobertura de seguro es importante, debe estar unida a controles internos y estrategias proactivas para disminuir la exposición.
“En el centro de la industria del cuidado de la salud se encuentra la seguridad de los pacientes. A pesar de que una brecha de información puede exponer los datos de los pacientes, un ataque de secuestro de información que apaga los sistemas tiene el potencial no solo de retrasar cuidados importantes sino de provocar la omisión de medicación, dosis incorrectas y aún hasta la pérdida de la vida,” afirmó.
“Por eso es que la segmentación de las redes es tan importante,” expresó. “Separar la información de los pacientes, la red general y los sistemas de gestión de dispositivos médicos puede ayudar a prevenir brechas y reducir los daños.”
Ella ilustró este punto haciendo referencia a la brecha HCA Heathcare del 2023, la cual comprometió la información de pacientes de 20 estados. Camara expresó que el alcance del incidente estuvo relacionado a la interconectividad de los sistemas.
“Si estas redes no hubieran estado interconectadas, el acceso habría sido disminuido, limitado o eliminado por completo,” expresó.
Con el aumento de la disponibilidad de las herramientas impulsadas por la IA y la aplicación automatizada de políticas, Camara entiende que la segmentación actualmente es más factible que en años anteriores. Además, sugirió que la presión regulatoria puede muy pronto convertirlo en un requerimiento.
“Con la actualización propuesta en el año 2025 de los requerimientos de seguridad de la HIPAA, esperamos que finalmente esto se convierta en un enfoque estándar para mejorar la seguridad de las redes,” afirmó.
Los riesgos de terceros es otra preocupación en aumento en la responsabilidad cibernética de la atención médica. Camara observó que las brechas relacionadas a los proveedores se han convertido en algo más frecuente, introduciendo nuevos vectores para riesgos de responsabilidad y operativos.
Destacó que no es suficiente enfocarse solo en las defensas internas, las relaciones con los proveedores de servicios externos también deben ser estructuradas con el riesgo en mente.
“Es importante exigir a cualquier tercero tener una póliza de responsabilidad cibernética,” expresó. “Es también importante definir qué información los terceros pueden manejar, incluyendo la información de salud protegida (PHI, por sus siglas en inglés) y la información de identificación personal (PII, por sus siglas en inglés).”
El seguro cibernético solo no es suficiente
Camara añadió que las pólizas cibernéticas solas pueden no ser suficientes para abordar toda la cantidad de exposiciones que enfrentan las organizaciones de atención médica.
“Las entidades de atención médica deben también considerar una serie de pólizas de seguro de responsabilidad especializadas para asegurar la protección comprensiva de los riesgos,” afirmó.
“Ella abogó por una estrategia de seguros en capas que incluya múltiples líneas de cobertura de responsabilidad diseñada para diferentes riesgos asociados con operaciones digitales.”
“La cobertura de Errores y Omisiones puede ayudar a disminuir posibles pérdidas relacionadas a responsabilidad por fallas tecnológicas, errores de facturación o mal funcionamiento de sistemas de computadoras, asuntos que pueden interrumpir el cuidado de los pacientes o provocar un escrutinio regulatorio,” afirmó. “El seguro de directores y funcionarios puede proteger al liderazgo contra demandas provocadas por decisiones tomadas durante inversiones en gestión de tecnología y respuesta a incidentes cibernéticos.”
A medida que las organizaciones del cuidado de la salud continúen digitalizándose, Camara entiende que un enfoque estratégico para la transferencia de riesgos será algo muy importante. Expresó que los seguros no deben ser vistos como algo aislado sino como parte de una amplia estructura de resiliencia operativa.
“A medida que las organizaciones del cuidado de la salud se vuelven cada vez más digitales, tener una estrategia de seguros en capas es importante para proteger tanto la integridad operativa como el liderazgo organizacional,” afirmó.
Camara también abordó la próxima actualización del 2025 de la Ley de Seguridad de la HIPAA, la cual se espera que introduzca nuevos controles técnicos luego del cierre del período de comentarios públicos en marzo.
La actualización probablemente incluirá requisitos de encriptación para toda la información de salud protegida electrónicamente (ePHI, por sus siglas en inglés), autenticación múltiple obligatoria, inventarios detallados de activos tecnológicos y sistemas de monitoreo automatizados.
“Se espera que la actualización del 2025 incluya nuevos controles técnicos obligatorios para ayudar a fortalecer la seguridad cibernética de la atención médica,” expresó. “Esperamos que las nuevas leyes ayuden a reducir aún más los riesgos de brechas de seguridad cibernética.”
De Paz y Asociados, SRL 