junio 3, 2025
ll 2025 segna un punto di svolta cruciale per il CISO, che da «guardiano della sicurezza» si trasforma in una figura strategica a tutto tondo. Non […]
En el ámbito sanitario cada segundo cuenta y se juega con vidas humanas, pero no todos los sistemas logran mantener el ritmo. Detrás del impulso hacia la digitalización —informes en la nube, diagnóstico predictivo, dispositivos conectados— persisten infraestructuras que todavía conservan “las huellas del pasado”. Equipos certificados hace más de una década, software que ya no puede actualizarse y redes que conectan nuevos servicios con tecnologías fuera de soporte.
Es el paradigma de la modernidad en los hospitales: innovar sin poder actualizar.
Una contradicción que no surge por negligencia, sino de un modelo normativo y operativo que exige estabilidad donde, en realidad, se necesita adaptación.
Según el informe IBM Cost of a Data Breach, el sector sanitario presenta el coste medio más alto por violación de datos: más de 10 millones de dólares por incidente.
Y, sin embargo, allí donde la protección debería ser máxima, la superficie de ataque sigue siendo amplia, eterogénea y difícil, por no decir imposible, de controlar.
En sanidad, la certificación es sinónimo de seguridad.
Cada dispositivo médico debe demostrar su fiabilidad y conformidad antes de poder utilizarse en un entorno clínico.
Es un requisito imprescindible para proteger al paciente, pero que, en la era digital, se ha convertido en un freno involuntario.
Una vez certificado, un sistema no puede modificarse sin repetir todo el proceso de validación. Una simple actualización del sistema operativo o una corrección de seguridad se transforma en una operación larga, costosa y, en muchos casos, inviable. Una vez certificado, un sistema no puede modificarse sin repetir todo el proceso de validación. Una simple actualización del sistema operativo o una corrección de seguridad se transforma en una operación larga, costosa y, en muchos casos, inviable.
Ante esa complejidad, muchas organizaciones optan por no actualizar.
Mientras tanto, los dispositivos siguen siendo plenamente funcionales desde el punto de vista clínico, pero cada vez más vulnerables desde la perspectiva de ciberseguridad.
Su larga vida útil —a menudo superior a diez años— se convierte en una ventana abierta al riesgo.
Dos velocidades, un solo riesgo
El sector sanitario avanza sobre dos líneas temporales que rara vez se cruzan.
La primera, la clínico-regulatoria, se mueve con lentitud: estabilidad, validaciones, ciclos de certificación que pueden durar años.
La segunda, la cibernético-tecnológica, evoluciona a un ritmo exponencial, con nuevas amenazas y vectores de ataque cada mes.
Este desfase produce una fragilidad estructural.
Un dispositivo conforme a las normas médicas puede quedar expuesto a vulnerabilidades explotables y conocidas desde hace años, simplemente porque no puede actualizarse.
Así, en muchos hospitales, junto a modernos sistemas de telemedicina conviven todavía equipos que funcionan con Windows 7 Embedded o versiones heredadas de Linux.
Dos velocidades distintas, un único riesgo compartido: la primera protege la seguridad del paciente; la segunda, la seguridad del dato.
Y ambas, hoy, deben avanzar en la misma dirección.
Incluso cuando los departamentos de TI buscan modernizar la infraestructura, deben garantizar que las nuevas arquitecturas sigan siendo compatibles con los dispositivos certificados aún en uso.
El resultado es un ecosistema híbrido y frágil, donde servidores actualizados conviven con máquinas antiguas, y donde aplicaciones en la nube se comunican con software propietario sin mantenimiento.
En este contexto, incluso ataques antiguos siguen siendo eficaces, porque aprovechan vulnerabilidades que no pueden parchearse.
La obsolescencia tecnológica deja de ser un problema técnico y se convierte en un límite estructural del sistema.
La solución no pasa por elegir entre cumplimiento normativo y ciberseguridad. Ambas deben coexistir
La clave está en adoptar estrategias híbridas que mitiguen los riesgos sin modificar los sistemas certificados.
El virtual patching permite compensar vulnerabilidades conocidas mediante controles a nivel de red
Mediante la microsegmentación, los dispositivos obsoletos se aíslan en entornos controlados, reduciendo la posibilidad de propagación lateral en caso de fallo. A esto se suman la creciente adopción de marcos de modelado de amenazas médicas (FDA, IMDRF, IEC 81001-5-1), que evalúan el riesgo cibernético a lo largo de todo el ciclo de vida del dispositivo, y la introducción del SBOM (Software List of Materials), que hace que los componentes de software y sus dependencias sean rastreables.
Estos mecanismos no eliminan el riesgo, pero lo hacen gestionable, equilibrando lo que no puede cambiarse con lo que puede supervisarse.
Gestionar el riesgo en sanidad significa pasar de una fotografía puntual a un modelo vivo, capaz de evolucionar junto con la infraestructura.
El Digital Twin aplicado al entorno sanitario representa este cambio de paradigma.
Se trata de un modelo digital que replica la red real —incluyendo IT, OT e IoMT— y permite visualizar las relaciones entre activos, procesos y aplicaciones.
Este enfoque basado en datos transforma la gestión del riesgo en un proceso continuo y predictivo, integrando la ciberseguridad en la gobernanza tecnológica clínica.
En un contexto donde la continuidad del servicio es crítica, la capacidad de anticipar el riesgo, previniendo su materialización, se convierte en el verdadero factor de resiliencia.
La ciberseguridad en sanidad ya no puede limitarse a cumplir con los requisitos regulatorios.
Debe convertirse en un proceso activo, capaz de adaptarse al ritmo del cambio tecnológico y de convivir con la rigidez de los procesos clínicos.
En un contexto donde la continuidad del servicio es crítica, la capacidad de anticipar el riesgo, previniendo su materialización, se convierte en el verdadero factor de resiliencia.
La resiliencia no se construye solo con tecnología, sino con conocimiento.
Significa pasar del control periódico a la observación continua, del cumplimiento al entendimiento, de la reacción a la predicción.
El camino hacia un sistema de salud verdaderamente digital también pasa por el diálogo y el intercambio de perspectivas.
Por este motivo, ai.esra participará en la próxima edición de “Sanità Digitale – Proximity Healthcare, Public-Private Collaboration, the Opportunities of Digital Transformation, and Privacy Protection”, organizada por Soiel International en el Hotel UNA de Bolonia.
Una oportunidad para continuar el diálogo sobre innovación, gobernanza y ciberseguridad en el sector sanitario, y para mostrar cómo el conocimiento del riesgo puede ser el primer paso hacia una resiliencia consciente.
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590 CF e PI 13107650015
“Este sitio web se compromete a garantizar la accesibilidad digital conforme a la normativa europea (EAA). Para informar sobre problemas de accesibilidad, escribe a: ai.esra@ai-esra.com”
ai.esra SpA – strada del Lionetto 6 Torino, Italy, 10146
Tel +39 011 234 4611
CAP. SOC. € 50.000,00 i.v. – REA TO1339590
CF e PI 13107650015
© 2024 Esra – Todos los derechos reservados
