Ciber Resiliencia en Salud: ¿Por qué la ciberseguridad ya no es solo un asunto de informática?

Por Carlos Artiga

La transformación digital en el sector salud de América Latina y el Caribe avanza a pasos agigantados. Desde la implementación de expedientes clínicos electrónicos hasta la adopción de herramientas de telemedicina, aplicaciones móviles, plataformas de vigilancia, sistemas de información interoperables y dispositivos interconectados, la tecnología está cambiando la forma en que se planifican, gestionan y prestan los servicios de salud.

Estos avances abren enormes oportunidades para mejorar el acceso, la oportunidad y la calidad de la atención. Sin embargo, también amplían la superficie de riesgo. Cada nuevo sistema conectado, cada usuario con acceso a información sensible, cada plataforma en la nube y cada intercambio de datos entre instituciones puede convertirse en una puerta de entrada para amenazas digitales. En este contexto, la ciberseguridad deja de ser un tema periférico y se convierte en una condición básica para sostener la confianza, la continuidad operativa y la seguridad del paciente.

Cuando pensamos en ciberseguridad, muchas veces imaginamos infraestructura tecnológica compleja gestionada exclusivamente por equipos informáticos. Pero la realidad del sector salud es muy distinta. Un ataque de ransomware que bloquea el acceso a los expedientes clínicos electrónicos no solo detiene un servidor; puede detener una consulta, retrasar un diagnóstico, posponer una cirugía, interrumpir una referencia, afectar la entrega de medicamentos o limitar la capacidad de respuesta ante una emergencia.

En salud, los incidentes digitales no se quedan en el mundo de los datos. Tienen consecuencias clínicas, administrativas, financieras, legales y humanas. Por eso, la seguridad de la información ha dejado de ser únicamente un problema técnico para convertirse en un imperativo de gestión y una prioridad institucional.

El sector salud es especialmente vulnerable por varias razones. Maneja algunos de los datos más sensibles de las personas: diagnósticos, tratamientos, antecedentes, resultados de laboratorio, imágenes médicas, información de salud mental, datos de identidad y, en muchos casos, información financiera. Además, muchas instituciones operan con sistemas heredados, infraestructura limitada, presupuestos ajustados y equipos sometidos a alta presión. A esto se suma la necesidad de mantener los servicios disponibles de forma continua. Un hospital, una clínica o una red de servicios no puede simplemente “apagarse” mientras se resuelve una crisis tecnológica.

Los reportes internacionales confirman que la amenaza no es hipotética. El informe de Verizon sobre brechas de datos de 2025 analizó más de 22,000 incidentes de seguridad y más de 12,000 brechas confirmadas, mostrando la persistencia del factor humano, la ingeniería social, el abuso de credenciales y el ransomware como amenazas críticas para las organizaciones. En el sector salud, estos riesgos se intensifican por la sensibilidad de los datos y por el impacto directo que puede tener una interrupción en la prestación de servicios (Verizon, 2025).

De igual manera, la Agencia de la Unión Europea para la Ciberseguridad identificó al sector salud como un blanco prioritario, con hospitales y proveedores de atención especialmente afectados por incidentes digitales. Su análisis del panorama de amenazas en salud muestra que los ataques no solo buscan robar información, sino también interrumpir operaciones, extorsionar a instituciones y aprovechar vulnerabilidades organizacionales, técnicas y humanas (ENISA, 2023).

El factor humano: el eslabón clave en la protección de datos

Aunque la tecnología es indispensable, la ciberseguridad no se resuelve únicamente comprando herramientas. Firewalls, antivirus, sistemas de respaldo, controles de acceso y monitoreo son necesarios, pero insuficientes si no existe una cultura institucional de prevención, respuesta y aprendizaje.

Muchos incidentes comienzan con acciones cotidianas: abrir un enlace de phishing, descargar un archivo aparentemente legítimo, reutilizar contraseñas, compartir credenciales, utilizar aplicaciones no autorizadas o enviar información sensible por canales inseguros. En un entorno de alta presión, donde el personal clínico y administrativo debe responder rápido, atender pacientes, llenar registros y coordinar procesos, estos errores pueden ocurrir con facilidad.

Por eso, la respuesta no puede ser culpar a las personas. La respuesta debe ser formar, acompañar y construir capacidades. El personal de salud no necesita convertirse en especialista en programación o seguridad informática. Pero sí necesita reconocer señales de alerta, comprender el valor de la información que maneja, saber cómo actuar ante un incidente y conocer las prácticas básicas que reducen riesgos.

La ciberresiliencia implica precisamente eso: la capacidad de una institución para anticiparse, resistir, responder y recuperarse frente a incidentes digitales, manteniendo la continuidad de los servicios esenciales. No se trata de asumir que nunca ocurrirá un ataque, sino de prepararse para reducir su probabilidad, limitar su impacto y recuperarse de forma ordenada.

De la reacción técnica a la gobernanza institucional

La ciberseguridad en salud debe abordarse como un asunto de gobernanza. Esto significa definir responsabilidades, establecer protocolos, clasificar riesgos, proteger datos sensibles, fortalecer la gestión de accesos, contar con respaldos verificables, realizar ejercicios de respuesta a incidentes y asegurar que las decisiones sobre tecnología estén alineadas con la protección del paciente y la continuidad del servicio.

También implica liderazgo. Las direcciones institucionales, los equipos clínicos, las áreas administrativas, los responsables de tecnologías de información, las unidades legales y los equipos de calidad deben comprender que la seguridad digital es una responsabilidad compartida. La transformación digital segura requiere coordinación, inversión, formación y reglas claras.

La Organización Mundial de la Salud ha señalado que las estrategias de salud digital deben integrar recursos financieros, organizacionales, humanos y tecnológicos para responder a las prioridades de los países y avanzar hacia la cobertura universal de salud. Desde esta mirada, la ciberseguridad no es un componente accesorio, sino parte de las condiciones necesarias para que la salud digital sea confiable, sostenible y centrada en las personas (World Health Organization, 2021).

Una respuesta formativa para la región: Curso Regional de RECAINSA

Conscientes de esta brecha y fieles a su compromiso de fortalecer las estrategias de salud digital en las Américas, RECAINSA presenta, con certificación conjunta de ACOINFO, el curso virtual “Fundamentos de Ciberseguridad para Líderes y Equipos de Salud”.

Esta propuesta formativa ha sido diseñada específicamente para perfiles diversos del sector salud, sin requerir formación técnica avanzada. El programa busca dotar a directores, tomadores de decisión, personal médico, de enfermería, administrativo y equipos vinculados a la gestión de servicios de los conceptos esenciales y las buenas prácticas necesarias para mitigar riesgos.

A lo largo de cinco semanas, del 19 de agosto al 16 de septiembre de 2026, el curso abordará una ruta de aprendizaje práctica y orientada a la gestión:

  1. Semana 1, 19 de agosto: Introducción a la ciberseguridad en salud.
  2. Semana 2, 26 de agosto: Datos sensibles e información personal de salud.
  3. Semana 3, 2 de septiembre: Amenazas comunes: malware, phishing, ransomware e ingeniería social.
  4. Semana 4, 9 de septiembre: Normativas, privacidad y buenas prácticas institucionales, incluyendo videollamadas y aplicaciones remotas.
  5. Semana 5, 16 de septiembre: Respuesta inicial ante incidentes, ciberresiliencia y evaluación final.

El curso se desarrollará de forma 100% virtual, combinando cuatro sesiones en vivo de dos horas cada una vía Google Meet, con un entorno interactivo y asíncrono a través de Slack. Este formato facilitará el intercambio de experiencias, la discusión aplicada y el networking entre profesionales de distintos países de la región.

Al finalizar, las personas participantes recibirán un certificado digital emitido por RECAINSA y ACOINFO. Más que una constancia, el valor del curso estará en fortalecer capacidades prácticas para reconocer riesgos, actuar oportunamente y contribuir a una cultura institucional de ciberresiliencia.

¿Cómo participar?

La transformación digital segura es una responsabilidad compartida. Asegurar los sistemas de salud es también proteger la continuidad de la atención, la privacidad de las personas y la confianza en las instituciones.

Construyamos juntos una salud digital más segura, confiable y resiliente para América Latina y el Caribe.

Referencias

European Union Agency for Cybersecurity. (2023). ENISA threat landscape: Health sector. ENISA. https://www.enisa.europa.eu/publications/health-threat-landscape

Verizon. (2025). 2025 data breach investigations report. Verizon Business. https://www.verizon.com/business/resources/reports/dbir/

World Health Organization. (2021). Global strategy on digital health 2020–2025. World Health Organization. https://www.who.int/publications/i/item/9789240020924

Las opiniones expresadas en los artículos son responsabilidad exclusiva del autor o los autores y no representan necesariamente la posición de la junta directiva de RECAINSA ONG y RECAINSA Inc., ni del equipo ejecutivo.

Leave Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *