Cuando se habla de ciberseguridad en el ámbito sanitario, solemos pensar en historias clínicas o en ransomware, como te contábamos en nuestro artículo. Sin embargo, existe otra dimensión igualmente relevante: la seguridad de los dispositivos méditos IoT y de la cadena de suministro tecnológica.
Dispositivos médicos conectados, equipamiento de laboratorio, sistemas de imagen, proveedores que mantienen equipos, software de terceros, integración con plataformas y otros forman una red tecnológica compleja e interdependiente. Cuando uno de estos elementos falla o se ve comprometido, el impacto puede traducirse en interrupciones de servicio o riesgos para la disponibilidad de los sistemas clínicos.
El sector de la salud se ha consolidado como un objetivo prioritario y crítico para los ciberdelincuentes desde, al menos, finales de 2020. De hecho, los informes de INCIBE-CERT apuntan a una tendencia persistente: el ámbito sanitario se sitúa de forma recurrente entre los más afectados por incidentes de alto impacto en Europa.
El punto ciego: “no es un servidor, es un equipo”
Muchos activos críticos del entorno sanitario no se gestionan como sistemas informáticos tradicionales. Entre sus características habituales destacan:
- ciclos de vida prolongados,
- software difícil de actualizar o parchear,
- dependencias con fabricantes o proveedores,
- conectividad “por necesidad” (telemetría, soporte remoto, integración clínica).
Estas particularidades convierten la gestión de la cadena de suministro tecnológica en un elemento clave de la ciberseguridad sanitaria: desde qué equipos se adquieren hasta qué condiciones de acceso y mantenimiento se establecen con los proveedores.
Tres escenarios habituales en ciberseguridad sanitaria (y qué suele marcar la diferencia)
1) Acceso remoto de proveedores
En entornos sanitarios es común que proveedores externos necesiten acceder a determinados sistemas para tareas de mantenimiento o soporte técnico. Si ese acceso no está bien gobernado, puede convertirse en una puerta de entrada directa. Entre las prácticas recomendadas se encuentran:
- autenticación multifactor (MFA),
- cuentas nominativas en lugar de genéricas,
- accesos temporales autorizados previamente,
- registro y supervisión de la actividad.
2) Inventario real de dispositivos conectados
No se puede proteger lo que no se conoce. En entornos sanitarios hay equipos conectados que no siempre se gestionan como activos de ciberseguridad. Por ello resulta esencial disponer de:
- un inventario actualizado de dispositivos,
- información sobre sistema operativo, versiones y dependencias,
- una clasificación por criticidad, en función de su impacto en la actividad asistencial.
Cuando un equipo no puede actualizarse o parchearse, es necesario aplicar medidas compensatorias para reducir el riesgo.
3) Dependencias de software y servicios (cadena de suministro)
Un incidente de seguridad no siempre se origina dentro de la organización: en ocasiones puede propagarse a través de proveedores o servicios externos. Por ello resulta útil establecer:
- requisitos de seguridad en contratos con proveedores,
- obligaciones de notificación de incidentes,
- acceso a registros y evidencias técnicas cuando sea necesario,
- criterios para identificar proveedores críticos sin generar una carga administrativa excesiva.
La idea clave
En el ámbito sanitario, la ciberseguridad no se limita a la protección de datos. También implica garantizar la disponibilidad de los servicios asistenciales y el control de los accesos a sistemas y dispositivos críticos.
Comprender cómo interactúan dispositivos médicos IoT, equipos médicos, software y proveedores es esencial para anticipar riesgos.
Este enfoque práctico, basado en ejemplos reales y análisis de entornos tecnológico, es el que se aborda en iniciativas como el Centro Demostrador de Ciberseguridad, orientadas a trasladar la ciberseguridad desde el ámbito técnico hacia la gestión operativa de los servicios.
