La ciberseguridad sanitaria en 2026 se definirá menos por técnicas de ataque novedosas y por una brecha cada vez mayor entre los controles que informan las organizaciones y los controles que mitigan el daño.
Los datos de nuestra cartera desde 2023 hasta mediados de 2025 muestran que la ingeniería social, las brechas de respaldo y la mala gobernanza de los datos representan la mayoría de las pérdidas materiales en los reclamos de atención médica.
Director de Compromiso con el Cliente en Resilience.
Las cifras de los titulares ya cuentan parte de la historia. Las empresas sanitarias estadounidenses informaron de 275 millones de violaciones de récords en 2024, más del doble que el año anterior y la mayor exposición en un solo año en la historia del sector.
Los ataques de ransomware contra la atención médica aumentaron un 32 por ciento durante el mismo período, y solo el incidente de Change Healthcare expuso a aproximadamente 190 millones de personas.
La pregunta útil para los CISO, los CFO y las juntas directivas no es qué tan grande es la brecha. Exige información sobre qué amenazas están causando daños y qué inversiones los están reduciendo de manera mensurable.
¿Cuáles son las ciberamenazas a la atención médica en este momento?
La ingeniería social representó el 88 por ciento de las pérdidas materiales de nuestra cartera en el primer semestre de 2025, y las reclamaciones específicas de atención médica siguieron un patrón similar. El phishing, los ataques de correo electrónico empresarial y los ataques de los proveedores aparecen repetidamente en los datos de incidentes subyacentes, junto con lagunas en las copias de seguridad que exponen a las organizaciones cuando llega el ransomware y los errores de los píxeles de seguimiento exponen silenciosamente la información del paciente.
El panorama de los actores de amenazas está más distribuido de lo que sugieren los grupos más visibles. Si bien BlackCat y Cl0p aparecen a menudo en actividades relacionadas con la atención médica, las intrusiones exitosas reales se distribuyen de manera más uniforme entre operadores como Interlock, Lockbit y Medusa. Esta distribución es importante para los defensores, ya que endurecerse contra los nombres más importantes mientras se expone a operadores menos conocidos es un modo de falla específico que los datos muestran.
También han aumentado las demandas de extorsión. En el primer semestre de 2025, los incidentes relacionados con la atención médica en la cartera cobraron hasta 4 millones de dólares en extorsión. Estos costos tienen un peso diferente cuando está en juego la atención al paciente y la opción de pagar no es solo la interrupción operativa sino el riesgo clínico.
Cualquier control de ciberseguridad reduce el riesgo en la atención sanitaria
Cinco controles de nuestra cartera muestran la mayor reducción de riesgos medible en entornos de atención médica: puertas de enlace de correo electrónico seguras, copias de seguridad inmutables, autenticación multifactor de todos los accesos remotos, gobernanza formal de datos y prácticas de escritorio regulares que abarcan las operaciones clínicas. Ninguno de estos es exótico y la mayoría de las organizaciones de atención médica pueden implementarlos sin una solicitud de presupuesto transformador.
Dos hallazgos en los datos de la cartera destacan como específicos de la atención sanitaria. Las copias de seguridad inmutables suponen una mayor reducción del riesgo en el sector sanitario que en otras industrias, en gran medida porque el ransomware contra sistemas clínicos crea un cálculo de recuperación diferente al del ransomware contra el software ERP de un fabricante. Y las organizaciones con un comité formal de gobernanza de datos vieron una reducción de riesgo más de tres veces en comparación con sus pares de otros sectores, un reflejo de cuánta exposición de la atención médica se produce a nivel de datos, no solo en el punto final.
Los patrones son más importantes que cualquier control individual. Cada control de la lista funciona antes o durante un evento, no después. Ahí es donde reside la reducción de riesgos mensurable.
¿Por qué dejar en suspenso la conversación sobre el presupuesto?
Los CISO de atención médica enfrentan una versión específica de un problema universal: los controles con la mayor mitigación de riesgos modelada son a menudo los menos visibles para el liderazgo ejecutivo, y los controles más visibles para el liderazgo ejecutivo a menudo tienen la señal de reducción de daños más débil. Asimetría que pretende medir el riesgo cibernético.
De hecho, las organizaciones sanitarias que lideran el camino en este sentido están haciendo tres cosas. Están traduciendo la adquisición de control a términos en dólares que su director financiero puede evaluar frente a otras decisiones de capital. En lugar de recurrir a una lista de verificación marco, están priorizando el gasto frente a controles específicos que los datos identifican como de alto retorno de la inversión en su sector. Y están realizando ejercicios teóricos que incluyen liderazgo clínico, no solo TI, porque las decisiones que determinan si un evento de ransomware se convierte en un evento de atención al paciente no son puramente técnicas.
Así es como se ve el ejercicio.
Dos ejemplos contrastantes de nuestro portafolio lo demuestran. Un sistema de salud regional de tamaño mediano creyó que su postura de seguridad era más sólida de lo que debería haber sido y descubrió la brecha de la manera más difícil durante un importante incidente de ransomware, incluido el descubrimiento de que los archivos de imágenes clínicas se habían omitido de su estrategia de respaldo. Agravando los costos de recuperación, la exposición regulatoria y la interrupción de la atención.
Una empresa mediana de biotecnología ha tomado un camino diferente. Desarrolló un programa de riesgo cibernético medido y priorizado, comparó sus controles con su modelo más grande de escenarios de pérdidas y pudo redirigir el gasto en seguridad hacia controles con el mayor rendimiento. Cuando se intentó comprometer el correo electrónico empresarial, los controles funcionaron y el reclamo nunca se materializó
La diferencia entre estos dos resultados no fue presupuestada. Cada organización determinó cómo gastar el presupuesto.
¿Qué deberían hacer ahora los líderes de seguridad sanitaria?
Las tres medidas son defendibles, específicas y disponibles sin un programa transformador. En primer lugar, audite la postura de respaldo de la organización frente a un escenario realista de ransomware, incluidos no solo los archivos administrativos, sino también los sistemas clínicos y los datos de imágenes. En nuestra cartera, las brechas en las copias de seguridad son el principal factor de gravedad del ransomware sanitario.
En segundo lugar, medir directamente la resiliencia a la ingeniería social. Los ejercicios de mesa, las simulaciones de phishing y las revisiones de control de las posturas de las puertas de enlace de correo electrónico se ejecutan más rápido de lo que la mayoría de las organizaciones piensan, y la parte de daño material de la ingeniería social los convierte en un alto retorno de la inversión desde cualquier medida razonable.
En tercer lugar, traducir los tres o cuatro principales escenarios de riesgo a términos en dólares y llevarlos al consejo. La conversación sobre directores financieros es diferente cuando la pregunta se plantea como reducción de pérdidas, no como gasto en tecnología. Medir el riesgo es lo que hace que ese replanteamiento sea defendible.
Esto muestra la necesidad de cuantificar el riesgo en caso de pérdida material razonable; Sin él, la conversación sobre el presupuesto sigue siendo abstracta mientras que la exposición sigue siendo real. En lugar de una hoja de ruta del proveedor, se requiere la voluntad de establecer una lista de prioridades de datos de reclamaciones.
Contamos con los mejores servicios de respaldo en la nube..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
