El último Informe sobre el Estado de la Seguridad de la Información de IO presenta un panorama de un sector sanitario sometido a una presión constante. Las organizaciones son responsables de proteger datos altamente sensibles, mantener servicios siempre activos y coordinar los complejos ecosistemas clínicos, operativos y de proveedores. Cuando fallan los controles de seguridad, las consecuencias van más allá de las pérdidas financieras, afectando a la seguridad del paciente, la continuidad del servicio y la confianza pública.

Las conclusiones del informe de este año muestran que los líderes en seguridad sanitaria están equilibrando las crecientes exigencias regulatorias, las persistentes limitaciones de personal y presupuesto, y la creciente dependencia de terceros. Si bien las amenazas impulsadas por la IA están claramente surgiendo, los datos sugieren que los desafíos que definen al sector son más estructurales: resiliencia, gobernanza, capacidad de la fuerza laboral y la dificultad de escalar la seguridad y el cumplimiento normativo en entornos complejos.

Entre nuestros encuestados se encontraban líderes senior en ciberseguridad y seguridad de la información del ecosistema sanitario del Reino Unido y Estados Unidos. Sus respuestas revelan dónde se concentra el riesgo, cómo se materializan los incidentes y qué define las prioridades para el próximo año.

A continuación, analizamos 11 estadísticas clave que todo líder del sector sanitario debe comprender del informe de este año.

 

Estadísticas clave sobre seguridad de la información en el sector sanitario

  1. El 67% dice que la naturaleza de la industria de la salud hace que sea particularmente difícil implementar medidas efectivas de seguridad de la información.
  2. El 77% dice que la velocidad y el volumen de los cambios regulatorios hacen que sea cada vez más difícil cumplir con los estándares de seguridad de la información.
  3. Las limitaciones presupuestarias son el desafío más citado y afectan al 51% de las organizaciones, seguido de cerca por una brecha de habilidades en seguridad de la información (47%).
  4. El 32% informa de agotamiento dentro de los equipos de seguridad de la información y cumplimiento, mientras que el 32% también tiene problemas con la rotación y retención del personal.
  5. Sólo el 8% afirma no haber experimentado ningún incidente de ciberseguridad en los últimos 12 meses.
  6. El 55% se vio afectado por un incidente de seguridad de terceros o de la cadena de suministro durante el último año, y el 20% se vio afectado varias veces.
  7. Las violaciones de datos siguen siendo generalizadas: el 37 % denuncia violaciones en general, y los datos de los empleados (30 %), los datos de los socios (28 %) y los datos financieros (27 %) son los más frecuentemente comprometidos.
  8. El 45% dice que los altos directivos aún tratan el cumplimiento de la seguridad de la información como algo secundario, a pesar de que el 83% informa tener una estrategia de seguridad clara y el 85% apoya la rendición de cuentas a nivel de junta.
  9. El 40% cita la falta de concienciación de los empleados como un desafío de seguridad clave, y los errores más comunes incluyen el uso de Wi-Fi público (40%) y hacer clic en enlaces sospechosos (35%).
  10. El ahorro de tiempo obtenido gracias a procesos de seguridad más eficientes es el ROI más sólido obtenido a partir del cumplimiento normativo, citado por el 47 % de las organizaciones.
  11. El 95% confía en su capacidad para responder ante un incidente importante de ciberseguridad y el 68% dice que esa confianza ha aumentado durante el último año.

Dependencia de terceros y riesgo en la cadena de suministro

La dependencia del sector sanitario de terceros es estructural. Los sistemas clínicos, la TI gestionada, los servicios en la nube, el software especializado, los dispositivos médicos y las operaciones externalizadas amplían la superficie de ataque. Por lo tanto, no sorprende que la mitad de los encuestados (50 %) coincida en que los riesgos de la cadena de suministro son ahora "innumerables e inmanejables", y los datos de incidentes respaldan esta preocupación.

El 55 % de las organizaciones sanitarias se vieron afectadas por un incidente con un tercero en los últimos 12 meses, y una de cada cinco (20 %) se vio afectada varias veces. Lo que llama la atención es la naturaleza de las consecuencias. Los incidentes con proveedores no solo generan trabajo de cumplimiento normativo, sino que también interrumpen la prestación del servicio. Los encuestados informaron con mayor frecuencia de retrasos o interrupciones en la prestación del servicio (36 %), pérdida de colaboraciones o contratos clave (36 %) e interrupción operativa temporal (33 %). En casi un tercio de los casos, las organizaciones rescindieron el contrato con el proveedor por completo (30 %), lo que indica que la confianza en el proveedor es cada vez más condicional.

Las expectativas de los proveedores se están endureciendo en consecuencia. Las organizaciones sanitarias ahora exigen a sus socios una combinación de marcos sectoriales y generales, como HIPAA (35%), Cyber ​​Essentials (37%), NIST (29%), junto con normas ISO como 27001, 27701 y 42001 (20% cada uno). Los sistemas especializados como HITRUST (23%) e ISO 13485 (20%) también son cada vez más comunes. Solo el 3% afirma no requerir ninguna norma.

La dirección del viaje es clara: la garantía de terceros está pasando de la diligencia debida al control de resiliencia operativa, con requisitos más estrictos, una validación más frecuente y un vínculo más estrecho entre la postura del proveedor y la planificación de la continuidad.

Un entorno de incidentes persistentes

Otra clara conclusión del informe es que las organizaciones sanitarias operan en un entorno de referencia con alta incidencia, en lugar de enfrentarse a eventos aislados. Solo el 8 % afirma haber evitado por completo los incidentes de ciberseguridad en los últimos 12 meses. Las filtraciones de datos afectaron al 37 % de las organizaciones, mientras que el phishing o vishing (32 %), las infecciones de malware (27 %), las filtraciones en la nube (25 %) y las intrusiones en la red (22 %) siguen siendo comunes.

La magnitud de los datos comprometidos refleja la complejidad de los flujos de información en el sector sanitario. Los datos de empleados se vieron comprometidos en el 30 % de las organizaciones, seguidos de los datos de socios (28 %), datos financieros (27 %), datos de investigación (27 %) y datos de productos (23 %). La información de identificación personal (IIP) se vio comprometida con menor frecuencia (20 %), pero su impacto es desproporcionado.

En los casos en que se produjeron filtraciones de información personal identificable (PII), el 75 % resultó en multas o costos legales o regulatorios, y la mitad (50 %) contribuyó al cierre de la empresa o a un cambio de estrategia. Esto pone de relieve el alto riesgo que supone la vulneración de datos en el sector sanitario, donde convergen las consecuencias regulatorias, reputacionales y operativas.

En otras palabras, los incidentes ya no son fallos excepcionales. Son un riesgo operativo recurrente que debe anticiparse, absorberse y recuperarse como parte de la prestación normal del servicio.

Capacidad de la fuerza laboral y tensión operativa

Tras los datos de incidentes se esconde la imagen de un sector sometido a una presión operativa constante. Las restricciones presupuestarias afectan al 51 % de las organizaciones sanitarias, lo que las convierte en el desafío más citado. Al mismo tiempo, el 47 % reporta una falta de habilidades en seguridad de la información, mientras que el 32 % menciona el agotamiento en los equipos de seguridad de la información y cumplimiento normativo, y el 32 % tiene dificultades con la rotación y retención del personal.

Estas presiones se ven agravadas por la complejidad estructural. El 37 % cita la proliferación de TI y tecnología como un desafío, y el 33 % tiene dificultades para determinar qué procesos de seguridad pueden automatizarse de forma segura. A medida que proliferan las herramientas y se amplían las responsabilidades, los equipos se ven cada vez más obligados a gestionar flujos de trabajo fragmentados, paneles de control superpuestos y evidencia inconsistente.

Para las organizaciones sanitarias que operan bajo una presión constante de servicio, esta falta de coherencia se traduce directamente en riesgos: brechas de visibilidad, retrasos en la respuesta y una mayor dependencia de la experiencia individual. Con el tiempo, este modelo operativo no es sostenible.

Presión regulatoria y ejecución del cumplimiento

La complejidad regulatoria también fue una de las características definitorias del panorama de seguridad de la atención médica según nuestro informe. El 77% dice que la velocidad y el volumen del cambio regulatorio hacen que sea cada vez más difícil mantener el cumplimiento, mientras que el 39% cita el cumplimiento de las regulaciones y estándares como un desafío operativo directo.

La capacidad es desigual. Solo el 27% se siente plenamente capacitado para gestionar regulaciones y marcos regulatorios superpuestos, como GDPR, NIS 2 y HIPAA, mientras que el 33 % requiere ayuda externa ocasionalmente. El resto reporta deficiencias en el tiempo, las habilidades especializadas o el apoyo de la junta directiva.

Esta brecha entre la obligación y la ejecución se refleja en los resultados. El 70 % de las organizaciones han recibido al menos una multa por protección de datos en el último año, y un porcentaje significativo se enfrenta a sanciones de seis cifras. Sin embargo, los datos también muestran que la estructura importa. Una de cada cinco no informa de ningún desafío importante para cumplir con... ISO 27001, lo que sugiere que cuando los controles, la evidencia y los procesos de revisión están sistematizados, el cumplimiento se vuelve más predecible y menos oneroso.

Cuando el cumplimiento se ejecuta bien, ofrece beneficios tangibles. El 47% cita ahorros de tiempo gracias a procesos de seguridad más eficientes, el 38% una mejor toma de decisiones y el 37% una reducción de los costos relacionados con incidentes, lo que refuerza el argumento de que cuando las organizaciones pasan del cumplimiento como obligación al cumplimiento como disciplina operativa, la recompensa es significativa.

Comportamiento humano y riesgo incorporado

El comportamiento de los empleados continúa exponiendo a las organizaciones sanitarias a riesgos evitables. El 40 % menciona la falta de concienciación de los empleados como un desafío actual, y los comportamientos reportados reflejan esta deficiencia. El 40 % informa que el personal usa redes wifi públicas para trabajar, el 35 % informa que hace clic en enlaces sospechosos y el 32 % informa sobre el uso no autorizado de herramientas de IA generativa. El uso de contraseñas débiles y el uso de dispositivos personales no seguros afectan al 28 % de las organizaciones, cada uno.

Estos comportamientos rara vez son resultado de la indiferencia. Reflejan entornos donde los procesos de seguridad son fragmentados, inconsistentes o difíciles de seguir. Cuando los controles de seguridad añaden fricción o lentitud en la entrega, el personal recurre a la comodidad.

En entornos de atención médica, donde los empleados a menudo tienen acceso a sistemas clínicos y datos confidenciales, incorporar un comportamiento seguro en los flujos de trabajo cotidianos se está volviendo tan importante como la capacitación formal de concientización.

La IA como amplificador, no como restricción principal

La IA ocupa un lugar destacado en el panorama de amenazas emergentes del sector sanitario. El 51 % cita la desinformación generada por IA como una de sus principales preocupaciones, mientras que el 47 % señala el phishing impulsado por IA. A nivel interno, el 33 % está preocupado por el uso indebido de las herramientas de IA generativa, y el 52 % coincide en que adoptó la IA demasiado rápido y ahora tiene dificultades para gestionarla de forma responsable.

Al mismo tiempo, el 45% dice que las tecnologías de IA y aprendizaje automático actualmente están obstaculizando sus capacidades de seguridad de la información, y el 63% cree que los avances en IA están desdibujando los roles de seguridad tradicionales.

Sin embargo, los datos sugieren que la IA está amplificando las debilidades existentes en lugar de crear otras completamente nuevas. Las brechas de gobernanza, las limitaciones de la fuerza laboral, la dependencia de terceros y la complejidad regulatoria siguen siendo las presiones dominantes. La IA aumenta la velocidad y la escala del riesgo, pero no reemplaza la necesidad de controles estructurados, una rendición de cuentas clara y una supervisión integrada.

Confianza, preparación y el camino a seguir

A pesar de los altos volúmenes de incidentes y la creciente presión, los niveles de confianza en la atención médica siguen siendo sorprendentemente altos. El 95% dice que confía en su capacidad para responder a un incidente importante de ciberseguridad y el 68% informa que su confianza ha aumentado durante el último año.

Esa confianza se basa en una capacidad concreta. Casi la mitad realiza pruebas periódicas de respuesta a incidentes (47%), el 49% tiene roles claramente definidos durante los incidentes y el 42% mantiene planes de respuesta documentados. Muchos integran la respuesta con la continuidad del negocio y la recuperación ante desastres (33%) y recurren a apoyo externo, como proveedores de servicios de gestión de riesgos (MSSP) o asesoría legal (30%).

El desafío restante es la consistencia. La confianza es mayor cuando se ensaya la respuesta a incidentes, se incluyen los escenarios de los proveedores y el liderazgo participa activamente antes, durante y después de los incidentes.

En los hallazgos de este año, un tema recurrente es que los enfoques manuales, fragmentados y dependientes de las personas están llegando a sus límites. Las organizaciones sanitarias que adopten sistemas integrados y repetibles para gestionar la seguridad, el riesgo y el cumplimiento normativo, tanto en equipos internos como en ecosistemas de terceros, estarán mejor posicionadas para mantener la resiliencia sin sobrecargar los recursos, que ya están al límite.

Lea el Informe completo sobre el estado de la seguridad de la información.