El 80% de las organizaciones sanitarias fueron objeto de al menos un ciberataque en 2024

Omega Systems ha publicado una nueva investigación que revela el creciente impacto de los desafíos de ciberseguridad en las principales organizaciones sanitarias y en la seguridad de los pacientes. Según el Informe del panorama de TI de la atención médica 2025, el 19% de los líderes de atención médica dicen que un ciberataque ya ha interrumpido la atención al paciente, y más de la mitad (52%) cree que un incidente cibernético fatal es inevitable en los próximos cinco años.

Estas preocupaciones se producen a medida que los ataques se vuelven más generalizados, frecuentes y graves. En el último año, el 80% de las organizaciones sanitarias fueron objeto de al menos un ciberataque, con los ataques de ingeniería social (48%) y el ransomware (34%) encabezando la lista. Un dato preocupante es que más de 1 de cada 4 organizaciones informó de que al menos la mitad de sus datos confidenciales de pacientes estaban en riesgo debido a los ciberataques y, sin embargo, muchos equipos admitieron depender de una infraestructura obsoleta, procesos manuales y personal interno limitado para defenderse de las amenazas modernas.

Si bien los líderes informan de muchos desafíos importantes que obstaculizan el éxito de su negocio, la ciberseguridad ocupa el último lugar (33%), por detrás de otras prioridades, como el aumento de los costes operativos (53%), el mantenimiento del cumplimiento (52%) y la protección de los datos de los pacientes (40%).

 

La confianza en la preparación cibernética no coincide con la realidad

El 80% de los líderes de atención médica confían en la capacidad de sus equipos para detener los ciberataques impulsados por IA. Sin embargo, la preparación interna cuenta una historia diferente. Casi un tercio de las empresas no capacitan regularmente a sus empleados sobre cómo responder a las amenazas cibernéticas, y solo el 53% realiza simulaciones de phishing. Casi 1 de cada 5 carece de un plan de respuesta a incidentes actual o eficaz, y casi el 25% reconoce que podría llevar hasta un mes detectar y contener una violación de datos, y algunos sectores, como las ciencias de la vida, tardan aún más.

Más de la mitad (56%) de los líderes dicen que una infraestructura obsoleta retrasaría la recuperación de las brechas, y el 36% admite que sus herramientas de ciberseguridad actuales no pueden proteger los datos de los pacientes basados en la nube. Para agravar el problema, la mayoría aún no ha adoptado herramientas de seguridad avanzadas como EDR de próxima generación con defensa de amenazas móvil (solo el 46%) y tecnología de descubrimiento de datos (46%), y más de un tercio (34%) no sabe qué datos están en riesgo en su red, lo que hace que la defensa proactiva sea casi imposible.

Casi dos tercios de las organizaciones de atención médica encuestadas mantienen un equipo interno de TI o ciberseguridad, pero el 23% dice que no tienen suficiente personal. En el caso de un ciberataque, 1 de cada 5 empresas cree que la recuperación se retrasaría porque carecen de personal interno experimentado o de acceso a un equipo de operaciones de seguridad 24x7.

A pesar del panorama de amenazas cada vez más sofisticado, el 55% de las organizaciones de atención médica no están asociadas actualmente con un proveedor de servicios de seguridad gestionada (MSSP) para obtener experiencia y soporte adicionales. Los datos muestran que las empresas de atención médica que administran conjuntamente la TI y la seguridad con un MSSP están mejor equipadas para manejar las crecientes amenazas y demandas de cumplimiento, superando a sus pares en áreas como la velocidad de detección de amenazas, las evaluaciones de vulnerabilidades, la adopción del control de HIPAA y el uso del cumplimiento.