La protección IoMT sigue siendo algo que nos parece ajeno. Porque la mayoría de las personas no piensa en ciberseguridad cuando entra en un hospital. Piensa en una consulta, en una prueba diagnóstica, en una operación o en una visita a un familiar. Sin embargo, detrás de buena parte de la actividad asistencial existe una red cada vez más amplia de dispositivos conectados que ayudan a monitorizar pacientes, gestionar información clínica o apoyar la toma de decisiones.
Muchos de ellos pasan desapercibidos. Y quizá por eso rara vez nos hacemos una pregunta sencilla: ¿cómo se protegen estos dispositivos?
Esa fue la cuestión que reunió a profesionales del ámbito sanitario, expertos en ciberseguridad, administraciones públicas y empresas tecnológicas en la jornada sobre Protección IoMT celebrada en el Centro Demostrador de Ciberseguridad del Centro de Innovación Digitaliza Madrid.
Cuando la conversación deja de ser solo tecnológica
La apertura de la jornada corrió a cargo de Nuria Ruiz Hombrebueno, directora general de Salud Digital de la Consejería de Digitalización, y de Alejandro Las Heras, consejero delegado de la Agencia de Ciberseguridad de la Comunidad de Madrid.
Durante su intervención, Nuria Ruiz compartió una reflexión que ayudó a situar el debate en su verdadera dimensión: hoy existen incidentes de ciberseguridad cuyas consecuencias pueden afectar directamente a la atención sanitaria.
La afirmación obliga a mirar el problema desde otra perspectiva.
Durante años, gran parte de las conversaciones sobre ciberseguridad se han centrado en la protección de sistemas, redes o información. Todo eso sigue siendo importante. Pero en determinados entornos, como el sanitario, las implicaciones van más allá.
Cuando un hospital depende de tecnología conectada para desarrollar parte de su actividad diaria, la disponibilidad de esos sistemas pasa a formar parte de la propia continuidad asistencial.
Por eso la conversación sobre ciberseguridad sanitaria ya no gira únicamente alrededor de la tecnología. También gira alrededor de la confianza, la capacidad de respuesta y el funcionamiento de servicios de los que dependen miles de personas.
Entender el problema antes de hablar de soluciones
Antes de entrar en herramientas o tecnologías concretas, la jornada dedicó tiempo a explicar por qué la protección de dispositivos médicos conectados plantea desafíos específicos.
Luis Medina abordó esta cuestión en su ponencia Guardianes sin escudo, donde contextualizó la evolución de los entornos sanitarios conectados y los retos asociados a su protección.
Muchos dispositivos médicos fueron diseñados para cumplir funciones clínicas concretas. Su objetivo principal era ayudar a diagnosticar, monitorizar o tratar pacientes. La realidad actual es que además deben convivir en entornos digitales complejos, conectados y sometidos a riesgos que hace años ni siquiera se contemplaban.
A ello se suma la coexistencia de tecnologías muy distintas, fabricantes diferentes y ciclos de renovación largos, una combinación que obliga a analizar cada decisión con especial cuidado.
Comprender esta realidad es el primer paso para abordar el problema de forma efectiva.
Probar antes de desplegar
Uno de los conceptos que estuvo más presente durante toda la jornada fue la idea de experimentar antes de tomar decisiones.
En muchos sectores es posible asumir cierto margen de error. En un entorno sanitario, ese margen es mucho más reducido.
Por eso resulta útil disponer de espacios donde probar tecnologías, observar cómo se comportan, analizar su integración con otros sistemas y comprender sus implicaciones antes de desplegarlas en escenarios reales.
Esta filosofía estuvo presente en los casos de uso presentados por Sergio Mendoza Martín, de Nozomi Networks; Alex da Rocha, de Armis; y Agustín Valencia, de Fortinet.
Las demostraciones permitieron mostrar diferentes capacidades relacionadas con la visibilidad de activos, la detección de comportamientos anómalos o la protección de dispositivos médicos conectados.
Pero quizá la enseñanza más interesante no estaba en las herramientas concretas, sino en el propio proceso: probar, validar y aprender antes de incorporar nuevas capacidades a infraestructuras que requieren un alto nivel de estabilidad.
Y precisamente ahí es donde el Centro Demostrador encuentra una de sus principales aportaciones.
Un entorno para experimentar sin asumir riesgos innecesarios
A menudo se asocia la palabra «demostrador» con una exposición de tecnologías.
Sin embargo, la vocación del Centro Demo es diferente.
No se trata de mostrar soluciones de forma aislada, sino de recrear escenarios realistas donde puedan ponerse a prueba, compararse y analizarse en un contexto práctico.
Es una diferencia relevante.
Porque una demostración comercial permite ver qué hace una tecnología. Un entorno de experimentación permite entender cómo se comporta.
El Centro Demo funciona precisamente con esa lógica: ofrecer un espacio donde administraciones, organizaciones y empresas puedan explorar tecnologías, validar capacidades y aprender de situaciones cercanas a las que encontrarán después en su actividad diaria.
En ámbitos como la sanidad, donde cualquier decisión tecnológica exige un análisis especialmente cuidadoso, disponer de un entorno de estas características aporta un valor adicional.
Sentar a todos en la misma mesa
La jornada concluyó con una mesa redonda moderada por Yolanda Duro en la que participaron José Luis Bezares, de Salud Digital; Miguel Martín, de INCIBE; Raúl López Martínez, CIO del Hospital General Universitario Gregorio Marañón; y Alex da Rocha, de Armis.
Más allá de las conclusiones concretas, la propia composición de la mesa resultó significativa.
No es habitual reunir en una misma conversación a responsables de salud digital, especialistas en ciberseguridad, representantes de hospitales, organismos nacionales y empresas tecnológicas.
Sin embargo, la protección de los entornos sanitarios conectados exige precisamente eso: una visión compartida.
Los desafíos son demasiado amplios para abordarlos desde una única perspectiva.
La conversación permitió comprobar que cada actor observa el problema desde un ángulo distinto, pero también que existen preocupaciones comunes y espacios de colaboración cada vez más necesarios.
Una cuestión de cultura
Durante la apertura de la jornada, Alejandro Las Heras resumió una parte importante de la filosofía que inspira el trabajo del Centro Demo con una idea sencilla:
«La ciberseguridad no tiene que ser tecnológica, sino cultural.»
La frase resume bien buena parte de lo debatido durante la jornada porque proteger dispositivos médicos conectados implica tecnología. Pero también implica procedimientos, formación, coordinación y capacidad para entender cómo afectan los riesgos digitales a la actividad diaria de una organización.
Al finalizar el encuentro se habló de visibilidad, segmentación de redes, detección de amenazas y nuevas capacidades de protección. Pero, en el fondo, todas las conversaciones giraban alrededor de una misma cuestión: cómo incorporar innovación al sistema sanitario sin añadir riesgos innecesarios, y encontrar ese equilibrio no depende de una única herramienta ni de una única organización. Requiere conocimiento, colaboración y espacios donde probar antes de decidir.
Ese es precisamente el papel que el Centro Demostrador de Ciberseguridad quiere desempeñar.
