noviembre 5, 2025

Ciberseguridad en clínicas y hospitales: qué exige NIS2 y por dónde empezar

By Comunicación-3 Views-No Comment

La sanidad es uno de los sectores más castigados por el ransomware: datos sensibles, infraestructuras críticas y poca tolerancia a la caída del servicio. Por eso la directiva NIS2 eleva el nivel de exigencia para hospitales, clínicas, laboratorios y cualquier operador sanitario que gestione información de pacientes o preste servicios esenciales.

¿Qué significa esto en la práctica? Que ya no basta con “tener antivirus”: toca inventariar activos, segmentar redes, reforzar identidades (MFA), proteger copias y documentar cómo seguir atendiendo si hay un ataque. Y además, poder reportar incidentes de forma ágil a las autoridades competentes.

En este artículo te propongo una hoja de ruta en 10 pasos pensada para organizaciones sanitarias reales (con sistemas legacy, HCE antiguas y poco tiempo) y con foco en la amenaza más probable: ransomware.

Inventario de activos (saber qué tienes)

NIS2 exige saber qué sistemas están en juego. En sanidad esto incluye:

  • Historia clínica electrónica (HCE) y PACS/RIS.
  • Sistemas de laboratorio, farmacia, citaciones.
  • Dispositivos médicos conectados (IoMT): monitores, bombas, TAC.
  • Puestos de usuario y portátiles de consulta.
  • Servidores on-prem y servicios cloud.

Sin inventario no hay seguridad: no puedes parchear, segmentar ni hacer backup de lo que no sabes que existe.

Clasifica por criticidad y dato sanitario

No todos los sistemas pesan lo mismo. Prioriza:

  1. Sistemas que si fallan paran la asistencia (urgencias, HCE, laboratorio).
  2. Sistemas que manejan datos de salud (especialmente sensible).
  3. Sistemas expuestos a internet o proveedores.

Esto te ayuda a planificar qué proteger primero y qué meter en tu “zona más segura”.

Segmentación de red (no todo junto)

Un error típico en hospitales es tener todo en la misma red: administrativo, clínico e incluso dispositivos médicos. NIS2 empuja a separar:

  • Red asistencial
  • Red administrativa/ofimática
  • Red de invitados
  • Red de dispositivos médicos

Así, si un usuario ofimático cae en phishing, el malware no llega tan fácil a HCE o a un equipo médico.

Identidad fuerte y MFA

Los atacantes suelen entrar por credenciales robadas. Requisito básico:

  • MFA para accesos remotos, VPN, correo y paneles de administración.
  • Políticas de contraseña y ciclo de vida de cuentas.
  • Revisar cuentas de servicios externos y proveedores (mantenimiento de equipos médicos).

Copias inmutables y pruebas de recuperación

NIS2 pone foco en continuidad y recuperación. Para ransomware, lo crítico es:

  • Tener backups inmutables (no modificables por el atacante).
  • Backups separados de la red de producción.
  • Probar la restauración: un backup que no se restaura no sirve.

En sanidad la pregunta no es “¿tengo copia?”, es “¿en cuánto tiempo vuelvo a dar citas o a ver la HCE?”.

Plan de continuidad asistencial

La seguridad en sanidad no es solo IT, es seguir atendiendo. Tu plan debe decir:

  • Qué hacer si el HCE no está disponible.
  • Cómo imprimir/consultar información mínima del paciente.
  • Cómo registrar actividad durante la caída.
  • Cómo volver a sincronizar después.

Esto debe estar aprobado y ensayado con el equipo clínico.

Gestión de parches y vulnerabilidades

Muchos ataques explotan fallos ya conocidos. Al menos:

  • Ciclo mensual de parches para servidores y puestos.
  • Procedimiento específico para dispositivos médicos (a veces no puedes parchear: entonces tienes que aislar).
  • Escaneos periódicos y cierre de los hallazgos más críticos.

Formación y phishing

En sanidad hay mucha rotación y perfiles no técnicos. Incluye:

  • Módulos cortos sobre correos sospechosos y enlaces.
  • Política clara de uso de dispositivos personales.
  • Canal de reporte rápido (“esto me huele raro”).

El usuario sigue siendo la primera línea de defensa.

Reporting y registro de incidentes

NIS2 exige notificar incidentes significativos. Así que hay que tener:

  • Un formato de registro mínimo (qué pasó, cuándo, impacto).
  • Un responsable o equipo de seguridad.
  • Procedimiento de escalado a la autoridad competente.
  • Logs centralizados para investigar.

Métricas de madurez (para saber que mejoras)

Para no quedarte en “hemos puesto antivirus nuevo”, mide:

  • Tiempo de detección de incidentes.
  • % de sistemas con MFA.
  • % de backups probados.
  • % de equipos en red segmentada.
  • Nº de simulacros realizados.
  • Tiempo de recuperación del HCE.

Con este cuadro puedes enseñar a dirección que cumples NIS2 y reduces riesgo real.

Si tu organización está digitalizando procesos clínicos o incorporando interoperabilidad (FHIR, HL7), es buen momento para alinear seguridad y datos. En Menttoriza lo trabajamos desde la vertical de Salud y puedes ver más contenidos en la home.
Para referencias europeas actualizadas sobre ciberseguridad, tienes los recursos de ENISA: https://www.enisa.europa.eu/