La radiología avanza hacia plataformas en la nube y suma herramientas basadas en inteligencia artificial para informar, priorizar y optimizar flujos de trabajo. Ese salto mejora capacidad y accesibilidad, pero también reconfigura la superficie de ataque. En este escenario, la pregunta ya no es si habrá incidentes, sino cuán preparada está una organización para contenerlos sin comprometer la atención.
Un documento conjunto del American College of Radiology (ACR) y la Society for Imaging Informatics in Medicine (SIIM) propone una mirada práctica: gestionar el riesgo como parte del diseño operativo, no como un “parche” tardío.
Radiología en la mira
Los sistemas de imagen concentran grandes volúmenes de información sanitaria sensible. Eso los vuelve atractivos para actores maliciosos que buscan monetizar datos o paralizar operaciones mediante ransomware.
Reportes recientes describen que los centros pequeños y prácticas independientes pueden estar entre los más vulnerables, por limitaciones de recursos y por dependencia de infraestructura heredada.
Casos que terminan en demandas colectivas y acuerdos económicos ilustran que el impacto excede lo técnico: afecta continuidad asistencial, reputación y viabilidad del servicio.
Nube y herramientas de inteligencia artificial
Migrar a la nube no equivale, por definición, a “más seguridad” o “menos seguridad”. Cambia el modelo. Parte del control se delega a terceros y, a la vez, se accede a entornos que suelen incorporar prácticas modernas de hardening, monitoreo y respuesta.
En paralelo, la inteligencia artificial agrega integraciones nuevas con RIS, PACS, EHR y sistemas de reporte, lo que introduce dependencias adicionales.
La clave, señalan ACR y SIIM, es asumir que estas integraciones deben gestionarse como infraestructura crítica.
Riesgo de punto único de falla
El beneficio de centralizar servicios puede transformarse en fragilidad si una sola falla interrumpe el acceso a imágenes, visores, reportes o agendas. El white paper advierte que soluciones de nube y terceros pueden crear “puntos únicos de falla” cuando no se diseñan con redundancia, segmentación y planes de continuidad.
En radiología, donde los tiempos importan, un incidente no se mide solo por pérdida de datos, sino por demoras diagnósticas, reprogramaciones masivas y descoordinación con urgencias, quirófano y oncología.
El legado tecnológico como superficie de ataque
Varios incidentes comparten un patrón incómodo: infraestructura local, equipos antiguos y software que ya no se actualiza con regularidad. Incluso cuando la modalidad “funciona”, su ciclo de vida suele ser largo y puede exceder la evolución de los marcos modernos de ciberseguridad.
Esto es especialmente relevante en sistemas conectados a la red interna (modalidades, estaciones de trabajo, servidores intermedios) que quedaron fuera de estrategias de segmentación y actualización. Modernizar no es solo comprar tecnología: es reducir exposición acumulada.
Seguridad por diseño y estándares verificables
Una ventaja del ecosistema cloud-native es que muchas soluciones nacen bajo auditorías y marcos de gestión de riesgos que exigen evidencia. Por ejemplo, los reportes SOC 2 evalúan controles relacionados con seguridad, disponibilidad y confidencialidad a lo largo del tiempo, no como foto estática.
En paralelo, marcos como el NIST Risk Management Framework ordenan el ciclo de gestión del riesgo, desde categorización y selección de controles hasta monitoreo continuo.
El punto crítico: no alcanza con “decir” que se es seguro; hay que poder demostrarlo.
Preparación operativa antes del incidente
Los documentos de ACR–SIIM y el consenso de líderes del sector convergen en una idea: la respuesta improvisada es la respuesta más cara.
Definir políticas previas, roles, escalamiento y comunicación interna/externa reduce daño. Eso incluye un equipo de respuesta (propio o tercerizado), simulacros, criterios de aislamiento y un plan de continuidad que priorice lo clínico.
La analogía con políticas de brecha de datos es útil: así como existen protocolos ante incidentes de privacidad, deberían existir protocolos ante interrupciones por ciberataques.
Respaldo aislado y continuidad asistencial
En ransomware, el respaldo es útil solo si sobrevive al ataque. Por eso se insiste en copias aisladas (“air-gapped”) o inaccesibles desde la red comprometida, con restauración probada y frecuente. Recomendaciones federales en EE. UU. incluyen respaldos regulares, protección de copias y separación efectiva para evitar cifrado malicioso.
En radiología, además, la continuidad exige pensar escenarios: ¿cómo se informa si el PACS cae?, ¿qué circuito se activa para urgencias?, ¿dónde queda el “mínimo operativo” para no detener la atención?
Cómo auditar a un proveedor
Al evaluar herramientas de nube o inteligencia artificial, el pedido no debería ser “¿son seguros?”, sino “¿qué evidencia pueden compartir?”.
Buenas prácticas incluyen solicitar reportes de auditoría (p. ej., SOC 2), pruebas de penetración, políticas de gestión de vulnerabilidades, detalles de cifrado, segmentación y monitoreo, y acuerdos contractuales que definan responsabilidades.
ACR–SIIM también enfatiza revisar documentación y evitar dependencias opacas. El objetivo es reducir asimetrías: si una organización terceriza tecnología crítica, no puede tercerizar su responsabilidad.
Monitoreo continuo y aprendizaje
La seguridad no se “instala”: se opera. El white paper subraya la necesidad de vigilancia sostenida, porque los atacantes se adaptan y los sistemas cambian. Eso incluye registro y auditoría, detección de anomalías, actualización de parches, y revisión periódica de configuraciones.
En entornos con dispositivos heredados, también se recomiendan prácticas como segmentación de red, inventario vivo de activos y evaluación continua del riesgo. Documentos de buenas prácticas en salud remarcan, además, que la resiliencia depende de integrar seguridad a la rutina, no a una auditoría anual.
La expansión de la nube y la inteligencia artificial en radiología no es solo una discusión tecnológica: es una decisión clínica y organizacional.
Bien implementadas, estas plataformas pueden reducir exposición y mejorar resiliencia. Mal gestionadas, concentran riesgos y amplifican el impacto de un incidente.
La meta realista es construir servicios capaces de fallar con gracia: contener, recuperar y sostener la atención. En ciberseguridad, la confianza no se declara; se diseña, se prueba y se monitorea.
Para más detalles, puede visitar el American College of Radiology (ACR).
0 comentarios