El sector sanitario se encuentra en una situación paradójica en materia de ciberseguridad: es uno de los que mejor previene la aparición de vulnerabilidades graves, pero también uno de los más lentos en solucionarlas. Así lo refleja el informe State of Pentesting in Healthcare 2025, publicado por Cobalt, que analiza una década de datos de pruebas de penetración en 13 sectores y recoge la opinión de responsables de seguridad en organizaciones sanitarias.
La sanidad cumple en activos críticos, pero acumula retrasos en la corrección de vulnerabilidades
De acuerdo con el estudio, solo el 13,3 % de los hallazgos en las pruebas de penetración se clasifican como “serios”, lo que sitúa a la sanidad en la sexta mejor posición entre los sectores analizados. Sin embargo, el nivel de resolución es bajo: apenas se corrigen el 57,4 % de estas vulnerabilidades críticas, una cifra que la coloca en el puesto 11 de 13. A esto se suma que el tiempo medio de resolución alcanza los 58 días y que el plazo para resolver la mitad de los problemas críticos llega a los 244 días, muy por detrás de sectores como transporte, que lo logra en 43 días.
Pese a esta lentitud general, cuando se trata de activos de misión crítica las organizaciones sanitarias sí cumplen con los plazos. El 43% de las vulnerabilidades críticas se resuelve en un máximo de tres días y el 37% en menos de una semana, lo que demuestra que la prioridad se centra en los activos más sensibles.
Los responsables del sector identifican como principales riesgos la inteligencia artificial generativa (71%) y el software de terceros (68 %), junto con amenazas recurrentes como la exposición de datos, los ataques internos o el phishing. Según Gunter Ollmann, CTO de Cobalt, “el sector ha avanzado en la reducción del número de vulnerabilidades críticas, pero la lentitud en su corrección abre una ventana peligrosa de exposición”, recordando incidentes recientes como la brecha de DaVita en 2025, que comprometió datos personales y clínicos de más de 900.000 pacientes.
El informe concluye que la integración de pruebas de penetración continuas y la adopción de enfoques de seguridad ofensiva pueden ayudar al sector a reducir la acumulación de fallos, acortar los tiempos de resolución y afrontar riesgos emergentes como los asociados a la IA o a la cadena de suministro de software.
