Todavía hay muchas clínicas en las que los equipos médicos más avanzados —escáneres, resonancias o radiografías digitales— están conectados a internet sin que nadie se ponga a pensar demasiado en lo que eso significa. Es cómodo, rápido y parece lo normal en un entorno donde todo funciona ya de forma digital. El problema es que esa conexión, si no está bien configurada, puede convertir a estos mismos equipos en una puerta abierta hacia los datos más sensibles de la clínica y en un serio problema de ciberseguridad en dispositivos médicos.
Más de un millón de dispositivos médicos expuestos en todo el mundo
Hace apenas unas semanas, el equipo de Modat encontró algo que debería preocupar a cualquier clínica: más de un millón de dispositivos médicos en todo el mundo estaban conectados a internet de forma insegura. No se trataba solo de un par de archivos sueltos: entre los datos médicos que los investigadores encontraron había desde escáneres cerebrales hasta radiografías dentales, exámenes oculares y resonancias pulmonares, además de resultados de análisis de sangre que dejaban ver información privada sin ninguna protección. Y lo que más me ha preocupado al leer este estudio es que no hablamos solo de países lejanos como Estados Unidos, sino también de países europeos, cercanos y vecinos a España, como Alemania, Irlanda, Reino Unido o Francia. En otras palabras, el problema ya está en Europa, a las puertas de nuestras propias clínicas.
Ciberseguridad en dispositivos médicos: por qué se producen estas brechas
Lo que me resulta un poco raro, es que estos problemas son fáciles de solucionar para prevenir una filtración de datos o ataque, ya que los fallos de los que se aprovechan se repiten una y otra vez en clínicas de todo el mundo. Aquí tienes algunos de los más comunes que deberías revisar también en tu propia clínica:
- Contraseñas de fábrica como admin o 123456.
- Equipos médicos conectados directamente a internet sin necesidad (un escáner o una máquina de rayos X)
- Software que no se actualiza durante años o que no recibe las actualizaciones cuando el fabricante las publica.
Todos estos fallos, tan simples de solucionar, terminan convirtiéndose en los puntos débiles más fáciles de explotar. Y lo preocupante es que ni siquiera hace falta un ciberdelincuente con mucha experiencia: son errores tan básicos que cualquiera con malas intenciones puede aprovecharlos.
Como dijo Soufian El Yadmani,, fundador de Modat experto en este tema, la pregunta que deberíamos hacernos es muy sencilla:
¿Por qué hay todavía escáneres de resonancia conectados directamente a internet sin medidas de seguridad adecuadas?
Estos sistemas médicos solo deberían conectarse de forma remota cuando exista una necesidad clínica legítima. El problema es que, en demasiadas ocasiones, permanecen abiertos y vulnerables.
Cuando el acceso remoto sí tiene sentido
Pero claro que hay situaciones en las que sí tiene sentido que un equipo médico esté accesible a distancia, por ejemplo, cuando un especialista necesita revisar una prueba desde otra clínica. El riesgo no está en el acceso remoto en sí, sino en hacerlo sin medidas de seguridad adecuadas. Ahí es cuando lo que debería ser una ayuda para mejorar la atención médica se convierte en una puerta abierta para exponer toda la clínica.
El riesgo de ignorar la seguridad en equipos médicos
Actualmente, muchas clínicas siguen trabajando con equipos heredados que ya no cuentan con soporte del fabricante, porque funcionan, han costado dinero y cambiar un aparato caro no siempre entra en los planes inmediatos. El problema es que, sin actualizaciones ni parches de seguridad, estos equipos se convierten en objetivos fáciles. Y aquí aparece el mayor riesgo: una vulnerabilidad en un escáner o en una máquina de rayos X no solo puede ser la puerta de entrada a un ransomware que paralice la actividad de la clínica, sino que también puede abrir la puerta a algo mucho más incómodo después. Como ya he mencionado en otros artículos sobre la ciberseguridad en clínicas, el verdadero golpe llega cuando la información de los pacientes se filtra y termina en manos de terceros para ser utilizada en chantajes, fraudes a compañías de seguros o incluso suplantaciones de identidad.
Ahora imagina que entre esos pacientes hay alguien conocido, una persona mediática cuya información de salud termine circulando sin control: el impacto para la clínica no sería solo legal o económico, sino también un daño directo a su reputación y a la confianza de todos sus pacientes…
La ciberseguridad en dispositivos médicos ya es parte del estándar clínico
Voy a seguir insistiendo en que la ciberseguridad en clínicas ya no es una opción. Y ya no es una opción no solamente por el aumento de los ataques al sector salud, sino que también porque ya sabemos que desde 2023 las clínicas están obligadas a cumplir con la Directiva NIS2, que exige tener al personal formado, garantizar protocolos claros y proteger la confidencialidad de los pacientes.
Es un cambio tan necesario como cuando se declaró obligatorio ponerse el cinturón de seguridad: al principio parecía una molestia, pero hoy nadie duda de que salva vidas. En una clínica pasa lo mismo. Igual que garantizas la esterilización para evitar contagios, ahora debes garantizar la protección digital para evitar filtraciones.
Al final, estas normas están para protegerte, evitar muchos dolores de cabeza y darte la tranquilidad de saber que tu clínica, tus pacientes y tu reputación están realmente seguros.
Y recuerda, cierra bien las puertas y también los puertos. Ciberprotégete.
