El acceso de terceros a los sistemas de salud es la brecha que el 35% de los ataques aprovecha

por Jun 30, 2026Gestión e Innovación, IA & Diagnostico0 Comentarios

hospital, ciberseguridad, radiologia, ia

Los hospitales y centros de salud dependen de proveedores externos para el mantenimiento de sistemas, dispositivos conectados y plataformas tecnológicas.

Esa dependencia es operativamente necesaria pero introduce un vector de riesgo que los datos de SecurityScorecard cuantifican con precisión: el 35,5% de las brechas de seguridad involucra la explotación de un tercero, y el sector salud es el objetivo en el 24,2% de los ataques a través de proveedores externos.

Una publicación de mejores prácticas de Health-ISAC detalla los mecanismos de ese riesgo y las medidas estructuradas para controlarlo, con un caso de uso específico en sistemas de imagen.

Por qué el acceso de terceros es difícil de gestionar

El problema no es solo que los proveedores accedan a los sistemas: es que ese acceso suele ser informal, amplio y poco supervisado.

Cuentas de ex empleados de proveedores que permanecen activas, permisos más extensos que los necesarios, ausencia de revisiones periódicas y procesos de baja no coordinados son las vulnerabilidades más frecuentes.

El compromiso de credenciales sigue siendo el vector más común, y los grupos criminales más nuevos apuntan deliberadamente a los proveedores con menor madurez en seguridad para alcanzar, a través de ellos, a las organizaciones que soportan.

Se suma un desafío emergente: la IA agéntica usada para mantenimiento de rutina, que requiere provisioning, roles y monitoreo propios pero todavía carece de estándares maduros de autenticación.

Los atacantes no buscan al proveedor grande: buscan al eslabón más débil de la cadena. El 35,5% de las brechas en salud empieza ahí.
Los controles que marcan la diferencia

La autenticación multifactor resistente al phishing es el punto de entrada mínimo. La opción preferida son las passkeys vinculadas al dispositivo, que eliminan los ataques de intercepción de credenciales.

La identidad federada —donde el proveedor se autentica con sus propias credenciales corporativas mediante protocolos SAML u OIDC— ofrece el enfoque más sólido: elimina la proliferación de cuentas locales y centraliza el control.

El principio de menor privilegio establece que un técnico de soporte solo accede a los sistemas que le corresponden.

La segmentación de red refuerza ese límite técnicamente: si el proveedor de ciclo de ingresos solo puede alcanzar el sistema de facturación, una actividad anómala queda contenida y no compromete sistemas clínicos.

Lo que esto significa para los sistemas de imagen

Los sistemas de imagen —PACS, plataformas de modalidad, dispositivos médicos conectados— son un ejemplo concreto dentro del documento de Health-ISAC.

En entornos que operan con cuentas locales para cada técnico de soporte de proveedores de imágenes, la proliferación de credenciales genera retrasos, dificulta la baja de accesos y aumenta el riesgo de credenciales inactivas pero válidas.

El modelo federado resuelve esto: el técnico se autentica con sus propias credenciales corporativas, el acceso queda limitado a los sistemas requeridos y cada sesión queda registrada.

Para los servicios de diagnóstico por imágenes, que trabajan con redes de proveedores de equipos, software de procesamiento y soporte de modalidades, la identidad federada y la segmentación son los controles de mayor impacto práctico.

Una cuenta local de soporte al PACS que nadie desactivó cuando el técnico dejó la empresa es exactamente el tipo de vulnerabilidad que los ataques de terceros explotan.
Una lectura para la práctica clínica

La ciberseguridad de terceros no es un problema exclusivo del departamento de IT: involucra a los servicios que contratan proveedores, definen contratos y gestionan el ciclo de vida de los accesos.

Para radiología e imágenes médicas, donde la infraestructura técnica es compleja y el soporte externo es habitual, la revisión de los accesos activos de proveedores, los controles de autenticación exigidos contractualmente y la segmentación de red son medidas concretas y accionables.

Health-ISAC en su documento también señala que si un proveedor utiliza IA, ese uso debe declararse y evaluarse en términos de alcance, cumplimiento normativo, seguridad de datos y controles técnicos.

El acceso de terceros es necesario. El riesgo que genera, gestionable.

 

Este artículo se basa en una publicación de mejores prácticas de Health-ISAC sobre gestión de identidad y acceso de terceros en el sector salud.

También te puede interesar

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *