El sector sanitario se ha convertido en uno de los más vulnerables frente a las ciberamenazas. Así lo confirma el informe State of CPS Security: Healthcare Exposures 2025, elaborado por Claroty y su equipo de investigación Team82, que revela un panorama preocupante: el 89 % de las organizaciones sanitarias analizadas operan sistemas médicos con vulnerabilidades explotables y conectividad insegura.
Según el estudio, que analiza más de 2,25 millones de dispositivos médicos conectados (IoMT) y 647.000 dispositivos de tecnología operativa (OT) en 351 hospitales y organizaciones sanitarias (HDOs), las amenazas van más allá de los exploits conocidos. Factores como la conectividad expuesta a Internet, el uso de contraseñas por defecto o la falta de cifrado están ampliando de forma alarmante la superficie de ataque en los entornos sanitarios.
“Ransomware y otros ataques contra hospitales son en realidad ataques contra los pacientes, su seguridad y la integridad y disponibilidad de la atención”, alerta el informe.
Grupos de ransomware como Black Basta y BlackCat/ALPHV, al acecho
La sofisticación de los ataques ha crecido. El ransomware ya no se limita al cifrado de archivos: las campañas de doble y triple extorsión son ahora la norma. Los actores de amenazas roban credenciales, se mueven lateralmente en la red, acceden a información médica y presionan con la publicación de datos si no se paga el rescate, asegura el informe.
“Dado el nivel de criticidad de los servicios de salud, los hospitales son considerados uno de los sectores de infraestructuras críticas con mayor probabilidad de pagar un rescate”, explica Claroty.
En 2024, el grupo Black Basta fue responsable del ataque a Ascension (140 hospitales en EE.UU.), mientras que BlackCat/ALPHV comprometió Change Healthcare, afectando la tramitación de pagos médicos. En este último caso, aunque se pagó un rescate de 22 millones de dólares, los datos no fueron devueltos, y los costes de recuperación ascendieron a más de 2.500 millones.
Radiografía de los dispositivos más expuestos
El informe identifica tres grandes áreas de exposición en los entornos sanitarios:
- Sistemas de información hospitalaria (HIS): el 45 % presenta vulnerabilidades explotadas activamente (KEVs), y el 20 % está conectado de forma insegura a Internet.
- Sistemas de imagen médica (RX, TAC, ecografías, etc.): el 8 % de los dispositivos se encuentra en riesgo alto, al combinar KEVs con conectividad insegura.
- Dispositivos de paciente (monitores, ECG, etc.): aunque el porcentaje de riesgo crítico es menor (0,5 %), su número y criticidad hacen que un ataque pueda tener consecuencias directas en la salud del paciente.
También destaca el riesgo en dispositivos quirúrgicos conectados y en la tecnología operativa (OT) como sistemas de climatización, ascensores o distribución eléctrica. El 65 % de las organizaciones tiene dispositivos OT vulnerables y mal conectados, lo que permite a un atacante obtener dirección IP, tipo de dispositivo e incluso acceso remoto con herramientas como Shodan.
Claroty insiste en que la simple gestión de vulnerabilidades es insuficiente. Se requiere un enfoque basado en gestión de exposiciones, que tenga en cuenta no solo KEVs, sino también contraseñas por defecto, servicios innecesarios activos, firmware sin actualizar y protocolos inseguros.
“Centrarse exclusivamente en KEVs ignora otras exposiciones críticas. Conectividad insegura, contraseñas codificadas o comunicación en texto plano son vectores que no requieren sofisticación por parte del atacante”, señala el documento.
Recomendaciones
El informe propone una hoja de ruta en cinco pasos: descubrimiento, alcance, validación, priorización y movilización. Y enfatiza que la protección de los dispositivos médicos es una tarea compartida entre los equipos clínicos, de ingeniería biomédica, IT y seguridad.
Aseguran al final del informe que “las amenazas cibernéticas en el sector salud ponen en peligro la atención médica. Identificar los activos más expuestos y priorizar su remediación debe ser la principal responsabilidad de cualquier equipo de ciberseguridad hospitalaria”. Entre las medidas clave se incluyen aplicar actualizaciones de software y firmware tras validar su impacto; cerrar puertos abiertos y limitar accesos innecesarios; asegurar comunicaciones cifradas y gestionar certificados digitales; o deshabilitar servicios innecesarios y aplicar protección de endpoint cuando sea posible.
