El sector sanitario no está simplemente bajo asedio cibernético, sino inmerso en un auténtico brote digital. Basta con consultar el Informe de Investigaciones de Violaciones de Datos (DBIR) de Verizon 2025. Según el DBIR, la industria registró 1.710 incidentes de seguridad y 1.542 brechas confirmadas. En conjunto, esto sitúa a la sanidad entre los sectores más agresivamente atacados a nivel mundial.
Detrás de esta actividad subyacen dos factores principales. En primer lugar, las organizaciones sanitarias poseen datos masivos, que incluyen historiales médicos con gran cantidad de información personal y financiera, muy cotizada en el mercado negro. En segundo lugar, su infraestructura suele ser frágil y propensa a caídas, lo que no solo afecta a la atención al paciente, sino que también pone en riesgo sus datos.
Este doble golpe genera una urgencia y una presión creciente por resolver estos problemas. La situación se ve agravada porque, a diferencia de otros sectores, las organizaciones sanitarias en EE.UU. están sujetas a requisitos de divulgación, lo que puede generar una visibilidad no deseada y a menudo lleva a las víctimas a ceder ante rescates más elevados.
Del error humano a la intrusión en sistemas
El DBIR de Verizon confirma un cambio significativo en el origen de estos incidentes. El error humano ya no es la principal causa de las brechas. Este dudoso honor corresponde ahora a los cibercriminales que logran acceder a los sistemas con éxito. Esto incluye ataques de ransomware que colocan a los equipos en una posición imposible: ¿pagamos el rescate o arriesgamos la exposición de los datos de nuestros pacientes?
Desafortunadamente, esta es una realidad para demasiadas organizaciones. Basta preguntar a Change Healthcare. El año pasado, fue víctima de un ataque a la cadena de suministro mediante ransomware que afectó a aproximadamente 190 millones de personas. Aunque fue, sin duda, el incidente más grande, no fue el único. Yale New Haven Health vio expuestos más de 5,5 millones de registros, mientras que Episource fue víctima de un compromiso de un tercero y perdió el control de más de 5 millones de historiales. Y no solo los incidentes provocados por atacantes son la causa. Como vimos con Blue Shield of California, los errores rutinarios también pueden ser culpables. En este caso, un portal mal configurado expuso 4,7 millones de registros.
Aunque las cifras anteriores son sin duda impactantes, no transmiten la escala completa del daño infligido. Estos ataques también reducen la confianza pública, drenan las reservas financieras e incluso afectan a la atención al paciente. Tomemos el caso de Frederick Health, donde los atacantes interrumpieron los sistemas clínicos, forzando al hospital a desviar ambulancias.
Es una pandemia digital
Como profesional inmerso en la ciberseguridad, creo que la mejor forma de describir lo que enfrentan estas organizaciones es como una pandemia digital, especialmente en lo que respecta al ransomware y las amenazas a la cadena de suministro. Basta observar las cifras del DBIR, que indican que el ransomware ahora representa el 44% de las brechas. Esto supone un aumento del 37% en un solo año. Le siguen los ataques vinculados al espionaje, liderados por estados-nación que buscan obtener datos farmacéuticos, historiales de salud y más. Estos han aumentado un 12% desde 2024. Y no olvidemos las brechas por terceros, que se han duplicado en este mismo período.
La receta para el éxito: Defensas preventivas y de engaño
El desafío para estas organizaciones no radica tanto en la velocidad de los ataques como en su mutación. Tras mitigar una vulnerabilidad, como una credencial expuesta, los atacantes buscan rápidamente otra y, como un virus, repiten el proceso hasta obtener acceso.
Es esta adaptabilidad viral la que dificulta que las defensas perimetrales puedan seguir el ritmo. Esto es especialmente cierto para los modelos de seguridad reactivos tradicionales de "detectar y responder", donde los equipos de TI, ya superados en número y con escasez de personal, se ven atrapados apagando fuegos en lugar de construir resiliencia.
Ahí es donde ganan terreno estrategias preventivas más novedosas, especialmente en industrias que no pueden permitirse tiempo de inactividad. Los enfoques preventivos cambian constantemente elementos del sistema digital, como rutas de archivos, estructuras de memoria o procesos en ejecución. Al cambiar continuamente, desaparece la predictibilidad en la que confían los atacantes. A diferencia de las defensas estáticas, que son fijas y preconfiguradas, las defensas cibernéticas preventivas cambian constantemente, eliminando así cualquier punto de apoyo estable.
Este enfoque es clave para hospitales que dependen de sistemas obsoletos o dispositivos médicos no actualizables, como sistemas de imagen, plataformas farmacéuticas, plataformas de información clínica, sistemas conectados a HCE, sistemas de radiología y más. Una defensa cibernética preventiva puede bloquear exploits de día cero, contener la propagación de malware y mantener la operatividad de servicios vitales, incluso durante un ataque activo.
La tecnología de engaño es otra capa que gana adeptos. Estas plataformas hacen precisamente lo que su nombre indica: imitan activos reales (bases de datos, HCE, cuentas de usuario, etc.) para atraer a los atacantes hacia trampas. Estos señuelos se camuflan, se adaptan dinámicamente y envían alertas claras y accionables al ser tocados. Pero, a diferencia de las honeypots tradicionales, pueden escalar de forma inteligente, filtrar falsos positivos y dar a los equipos el tiempo necesario para mitigar amenazas reales rápidamente.
En un sector donde los retrasos se miden en vidas, la detección temprana, la reducción del tiempo de permanencia del atacante y la desorientación a nivel de sistema pueden literalmente salvar vidas. Al combinar tecnologías preventivas y de engaño, las organizaciones pueden embotar la superficie de ataque mientras exponen amenazas ocultas antes de que se produzcan daños.
Estas capacidades son vitales en un entorno donde los ataques de ransomware, las amenazas de estados-nación y los riesgos de terceros continúan creciendo. Al pasar de guiones reactivos obsoletos e ineficaces, las organizaciones sanitarias pueden erradicar las infecciones cibernéticas manteniendo una atención al paciente óptima.
Imagen: Just_Super, Getty Images
Brad LaPorte, Director de Marketing en Morphisec, es un experto en ciberseguridad con una amplia trayectoria y ex oficial militar especializado en ciberseguridad e inteligencia para las fuerzas armadas de EE.UU. y aliados. Con una distinguida carrera en Gartner como analista de investigación, fue instrumental en el establecimiento de categorías clave como la Gestión de Superficie de Ataque (ASM), la Detección y Respuesta Extendidas (XDR), la Protección de Riesgo Digital (DRP) y los elementos fundamentales de la Gestión Continua de Exposición a Amenazas (CTEM). Su enfoque visionario llevó a la creación del servicio MDR de Secureworks y del producto EDR Red Cloak, pioneros en la industria. En IBM, impulsó la creación del Portafolio de Seguridad de Endpoints, así como las ofertas de MDR, Gestión de Vulnerabilidades, Inteligencia de Amenazas y SIEM gestionado, consolidando su reputación como un visionario en soluciones de ciberseguridad adelantadas a su tiempo.
Este artículo se publica a través del programa MedCity Influencers. Cualquier persona puede publicar su perspectiva sobre negocios e innovación en salud en MedCity News a través de MedCity Influencers. Haga clic aquí para saber cómo.