La ciberseguridad en el sector de la salud está tomando un giro importante. Con ataques cada vez más frecuentes y peligrosos, proteger la información médica de los pacientes ya no es opcional, es una prioridad. Por eso, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) ha propuesto cambios clave en la ley HIPAA: restaurar datos en menos de 72 horas y realizar auditorías anuales serán ahora requisitos obligatorios.
Todo esto busca hacer frente a las crecientes amenazas y proteger mejor la información médica electrónica (ePHI). Pero, ¿qué significan realmente estos cambios? Y, sobre todo, ¿están las organizaciones listas para cumplirlos? Te lo contamos en este artículo.
Requisitos Clave de las Nuevas Reglas HIPAA para Proteger Datos de Salud
Para que esto funcione, las nuevas propuestas piden a las organizaciones de salud que se pongan serias con su infraestructura tecnológica. Entre otras cosas, deberán revisar el inventario de sus activos tecnológicos, analizar el mapa de su red, identificar vulnerabilidades que puedan poner en riesgo sus sistemas, y tener un plan listo para restaurar cualquier pérdida de datos o sistemas clave en un máximo de 72 horas.
Además, estas reglas traen consigo varios requisitos importantes: realizar auditorías de cumplimiento al menos una vez al año, cifrar toda la información médica (ePHI) tanto en reposo como en tránsito, implementar autenticación multifactor, usar protección antimalware, y eliminar software innecesario o sospechoso de sus sistemas.
El Aviso de Propuesta de Reglamentación (NPRM) también exige pasos más técnicos, como segmentar redes, establecer controles para copias de seguridad y recuperación, realizar análisis de vulnerabilidades cada seis meses, y ejecutar pruebas de penetración al menos una vez al año.
¿Por qué tanta presión?
Porque los ciberataques al sector de la salud no solo son comunes, sino también devastadores. El ransomware es un ejemplo claro: no solo implica enormes costos financieros, sino que también puede poner vidas en peligro al interrumpir el acceso a equipos de diagnóstico y sistemas que almacenan datos médicos críticos.
Microsoft lo dejó claro en octubre de 2024: "Las organizaciones de atención médica manejan datos extremadamente confidenciales, lo que las convierte en un blanco ideal para los ataques de ransomware. Pero más allá de eso, los atacantes saben que estas organizaciones están dispuestas a pagar sumas enormes para recuperar el acceso".
Esto tiene un impacto que va más allá de las instituciones directamente afectadas. Cuando un hospital es víctima de ransomware, los centros de salud cercanos suelen verse desbordados por pacientes que buscan atención urgente, generando un efecto dominó que complica aún más la situación.
Los números hablan por sí solos. Según Sophos, el 67% de las organizaciones de salud sufrió ataques de ransomware en 2024, comparado con solo el 34% en 2021. Las principales causas incluyen vulnerabilidades explotadas, credenciales comprometidas y correos electrónicos maliciosos.
Lo más alarmante es que más de la mitad (53%) de las organizaciones cuyos datos fueron cifrados terminaron pagando el rescate, con un promedio de 1,5 millones de dólares por incidente. Esto deja claro que el sector necesita mejorar drásticamente su enfoque hacia la ciberseguridad. Las nuevas reglas de la HIPAA podrían ser el primer paso para lograrlo.
Conoce más sobre: El auge del Ransomware en Salud: Guía Esencial para Líderes de TI
Los ataques de ransomware contra entidades de salud no solo están aumentando, sino que también están llevando más tiempo para ser solucionados. De hecho, solo el 22% de las organizaciones afectadas lograron recuperarse completamente en una semana o menos, un gran descenso comparado con el 54% que lo hacía en 2022.
"La información de salud es increíblemente sensible y, además, siempre debe estar disponible, lo que hace que el sector sea un blanco constante para los cibercriminales", explica John Shier, director de tecnología de Sophos. "El problema es que los atacantes saben que pocas organizaciones están realmente preparadas para lidiar con estos ataques, y eso se refleja en los tiempos de recuperación cada vez más largos".
Incluso la Organización Mundial de la Salud (OMS) se ha pronunciado sobre el tema. El mes pasado, calificaron los ataques de ransomware contra hospitales y sistemas de salud como "una cuestión de vida o muerte", y pidieron una cooperación internacional para frenar estas amenazas que no solo afectan datos, sino que también ponen en peligro la atención médica y la seguridad de los pacientes.
Conclusión
Hoy en día, con los ciberataques volviéndose cada vez más comunes y peligrosos, cumplir con las nuevas reglas de la HIPAA no es solo cuestión de seguir la ley, es una necesidad real para proteger los datos de los pacientes y garantizar que los servicios de salud sigan funcionando. Estas medidas no solo ayudarán a minimizar los daños de los ataques, sino que, en algunos casos, incluso pueden marcar la diferencia entre proteger vidas o ponerlas en riesgo.
Contar con soluciones robustas de ciberseguridad, como el cifrado, la autenticación multifactor y herramientas antimalware, es esencial para prevenir y mitigar amenazas antes de que se conviertan en un problema serio. Pero esto no se trata solo de tecnología: construir una verdadera cultura de ciberseguridad es igual de importante. Esto significa capacitar a los equipos, analizar riesgos con frecuencia y estar listos para actuar rápido ante cualquier incidente.
Al final, la seguridad de los datos no solo protege a las organizaciones de multas y pérdidas económicas, también genera confianza entre los pacientes, algo que no tiene precio en un mundo donde la privacidad y la seguridad son tan valiosas. En ciberseguridad, esperar a que pase algo nunca es una opción. Actuar antes, y hacerlo bien, puede ser la diferencia que cambie todo.
