Tras décadas de considerar la ciberseguridad un problema ajeno, los compradores del sector sanitario han alcanzado un punto de inflexión. Donde antes dominaban las decisiones el coste y la funcionalidad, los requisitos de ciberseguridad actuan ahora como criterios obligatorios que pueden descartar a proveedores por completo.
Acciones regulatorias recientes subrayan este cambio. A principios de 2025, la FDA y la CISA emitieron advertencias sobre fallos críticos de ciberseguridad en monitores de pacientes de Contec y Epsimed — deficiencias que amenazaban tanto la integridad del dispositivo como la seguridad del paciente. Se descubrió que los monitores contenían una puerta trasera (backdoor) oculta en el firmware, permitiendo el acceso remoto no autorizado y la potencial manipulación de datos del paciente. Aunque no se reportaron daños, el mensaje de los reguladores fue claro: los dispositivos médicos sin protecciones de seguridad por diseño ya no son aceptables en entornos clínicos.
Los compradores están haciendo oir su voz. Una investigación reciente encontró que casi la mitad ahora rechaza compras de dispositivos médicos debido a preocupaciones de ciberseguridad. En otras palabras, la seguridad de los dispositivos ha evolucionado de ser algo "deseable" a un requisito de adquisición no negociable.
El despertar de la responsabilidad
Los proveedores de salud han aprendido lecciones difíciles tras años de ciberataques en escalada. Las brechas de TI hospitalarias han traspasado cada vez más a los dispositivos médicos y entornos de tecnología operacional. El ataque de ransomware WannaCry en 2017 infectó 1.200 dispositivos de diagnóstico a nivel global y forzó el cierre de cinco departamentos de emergencia de hospitales británicos, desviando la atención al paciente. Los compradores entienden ahora que los dispositivos no pueden tratarse como sistemas aislados; deben ser seguros dentro de redes de atención complejas e interconectadas.
Para los fabricantes, esto significa que la vara está mucho más alta. Los clientes ya no estan dispuestos a aceptar garantías vagas sobre seguridad. En su lugar, esperan evidencia de un diseño seguro, procesos documentados de gestión de vulnerabilidades y transparencia sobre los componentes de software.
La prima por la seguridad genuina
Quizás lo más revelador es que las organizaciones sanitarias están respaldando sus requisitos con dinero real. Muchos compradores están ahora dispuestos a pagar un precio superior por dispositivos equipados con protección avanzada contra exploits y protecciones en tiempo de ejecución. Esta disposición refleja el entendimiento de que las defensas sofisticadas requieren una inversión continua en I+D, mantenimiento y parches.
El cálculo es simple: el coste de la prevención es mucho menor que el coste del compromiso. El mencionado ataque de WannaCry costó al NHS 92 millones de libras — aproximadamente 124 millones de dólares actuales. Las organizaciones sanitarias han experimentado de primera mano las consecuencias financieras y clínicas de una ciberseguridad débil — y cada incidente subraya que las vulnerabilidades de los dispositivos son un problema de seguridad del paciente con consecuencias millonarias.
El cambio hacia la seguridad por diseño
Existen llamamientos urgentes para que los dispositivos médicos sean seguros desde el inicio. Los compradores ya no aceptan soluciones posteriores al despliegue. Este cambio refleja una verdad dura: muchos entornos sanitarios dependen de sistemas heredados difíciles de actualizar y que deben permanecer operativos las 24 horas. Cuando la seguridad es una idea tardía, la carga recae en los proveedores, a menudo con herramientas limitadas para mitigar el riesgo.
Ahora, los reguladores gubernamentales refuerzan esta expectativa. En junio pasado, la FDA actualizó su guía titulada “Ciberseguridad en Dispositivos Médicos: Consideraciones del Sistema de Calidad y Contenido de las Presentaciones Premercado”. Entre otras cosas, recomienda que los fabricantes demuestren el modelado de amenazas, proporcionen una Lista de Materiales de Software (SBOM) e integren la ciberseguridad en todo el ciclo de vida del producto — una clara apuesta por prácticas de seguridad por diseño.
Al mismo tiempo, insta a los fabricantes a adherirse a un Marco de Desarrollo de Productos Seguros (SPDF) — en esencia, integrando elementos como el modelado de amenazas y la gestión de parches en sus sistemas internos de calidad, alineados con 21 CFR Parte 820.
Mientras tanto, la CISA del Departamento de Seguridad Nacional ha lanzado su propia iniciativa “Secure by Design”. Alienta a los proveedores de tecnología, incluidos los fabricantes de dispositivos médicos, a desplazar la responsabilidad hacia el origen — priorizando salvaguardas básicas como la autenticación multifactor, el registro de actividad y configuraciones seguras por defecto como parte del diseño, no como extras opcionales.
Juntos, estos desarrollos regulatorios y políticos están reconfigurando las expectativas en toda la cadena de suministro. Ahora, los fabricantes están bajo una presión creciente para demostrar que han integrado la seguridad — antes de que los productos salgan de fábrica.
La seguridad de los dispositivos médicos como una responsabilidad compartida
Estos cambios están redefiniendo el panorama competitivo. La seguridad ya no es algo que los fabricantes puedan tratar como una casilla de cumplimiento — se está convirtiendo en una expectación central de reguladores, sistemas hospitalarios y pacientes por igual.
Las organizaciones sanitarias también comienzan a reconocer su papel en esta ecuación. Al priorizar la seguridad en las decisiones de compra y presupuesto, ayudan a crear la señal de demanda que impulsa protecciones más fuertes en toda la cadena de suministro.
En última instancia, la ciberseguridad en el ámbito sanitario ya no es una responsabilidad unilateral. El progreso dependerá de que compradores y vendedores avancen al unísono — integrando la seguridad desde el diseño hasta el despliegue, y tratando la resiliencia como algo central para la seguridad del paciente.
Foto: marchmeena29, Getty Images
Joe Saunderses el fundador y CEO de RunSafe Security, pionera en tecnología de cyberhardening para sistemas embebidos y de control industrial, liderando actualmente un equipo de exespecialistas en ciberseguridad del gobierno estadounidense con un profundo conocimiento del modus operandi de los atacantes. Con 25 años de experiencia en seguridad nacional y ciberseguridad, Joe busca transformar el campo desafiando suposiciones obsoletas y alterando la economía de los hackers. Ha construido y escalado tecnología para las necesidades de seguridad tanto del sector privado como público. Joe ha asesorado y apoyado a múltiples empresas de seguridad, incluyendo Kaprica Security, Sovereign Intelligence, Distil Networks y Analyze Corp. Fundó Children’s Voice International, una organización sin ánimo de lucro que ayuda a niños desplazados, abandonados y víctimas de trata.
Esta publicación aparece a través del programa MedCity Influencers. Cualquier persona puede publicar su perspectiva sobre negocios e innovación en healthcare en MedCity News a través de MedCity Influencers. Haga clic aquí para saber cómo.