Según ENISA, el sector sanitario es el más afectado por incidentes de ciberseguridad significativos en Europa durante cuatro años consecutivos (2020-2023), con el ransomware representando el 54% de los ciberataques al sector y el 45% de los incidentes analizados en 2024. Y dentro del sector, los dispositivos médicos conectados son el vector de entrada más explotado: firmware sin actualizar, contraseñas de fábrica sin cambiar, comunicaciones sin cifrar y redes hospitalarias que mezclan tráfico clínico con tráfico administrativo sin segmentación.
El resultado es un ecosistema donde un marcapasos conectado, una bomba de infusión o un sistema de imagen diagnóstica pueden convertirse en la puerta de entrada a la red completa de un hospital.
Este artículo analiza qué hace que los dispositivos médicos conectados sean especialmente vulnerables, qué exige el marco regulatorio europeo a fabricantes y a operadores sanitarios, y qué controles técnicos y organizativos reducen el riesgo de forma demostrable.
Qué son los dispositivos médicos conectados y por qué son un objetivo prioritario
El término IoMT (Internet of Medical Things) agrupa todos los dispositivos sanitarios con capacidad de conexión a redes: monitores de constantes vitales, sistemas PACS y DICOM para imagen diagnóstica, ventiladores inteligentes, bombas de insulina y medicación, marcapasos y desfibriladores implantables con telemetría, glucómetros con sincronización en nube, sistemas de administración de radiación y equipos de laboratorio conectados a sistemas LIS/HIS.
Lo que los hace atractivos para los atacantes es una combinación de factores difícilmente reproducible en otros sectores. Los ciclos de vida son de 10 a 20 años, con fabricantes que no pueden actualizar el software sin volver a pasar el proceso de certificación MDR. Las redes hospitalarias históricamente no se han diseñado con segmentación, así que un dispositivo comprometido tiene visibilidad lateral a sistemas críticos. Y los datos que manejan, historiales médicos, datos de salud en categoría especial bajo el RGPD, tienen un valor en el mercado negro muy superior al de datos financieros.
El ataque al hospital de Düsseldorf en 2020, que derivó en el fallecimiento de una paciente desviada a otro centro tras el cifrado de sus sistemas, marcó el punto de inflexión en la percepción regulatoria europea del sector. Desde entonces, NIS2 y los requisitos de ciberseguridad ya presentes en el MDR (UE) 2017/745 han recibido una aplicación práctica mucho más exigente por parte de autoridades y organismos notificados.
Principales amenazas en el ecosistema IoMT
Ransomware dirigido a infraestructura hospitalaria
Los grupos de ransomware han identificado el sector sanitario como objetivo de alta rentabilidad: la presión operativa sobre los hospitales les hace más propensos a pagar para restaurar el acceso rápidamente. Los dispositivos médicos conectados son frecuentemente el vector inicial porque operan sistemas operativos desactualizados (Windows XP, Windows 7) que no pueden parchearse sin revalidar la certificación del dispositivo, y porque están conectados a la misma red que los sistemas de historia clínica.
Vulnerabilidades de firmware sin parche
La mayoría de los dispositivos médicos conectados tienen ciclos de actualización de firmware que dependen del fabricante, no del operador sanitario. Cuando el fabricante deja de dar soporte a un modelo, el dispositivo queda congelado en una versión de software con vulnerabilidades conocidas. La ENISA ha documentado que más del 40% de los dispositivos médicos conectados en uso en hospitales europeos tienen vulnerabilidades sin parche con CVE publicados.
Comunicaciones sin cifrar en protocolos heredados
Protocolos como HL7 v2, DICOM sin TLS o Bluetooth LE en versiones antiguas transmiten datos de paciente en texto plano o con mecanismos de autenticación triviales. Un atacante en la misma red inalámbrica puede interceptar datos de monitorización en tiempo real o, en el caso de dispositivos implantables con telemetría, modificar parámetros de funcionamiento dentro del alcance físico del dispositivo.
Acceso de terceros no gestionado
Los fabricantes y proveedores de mantenimiento acceden remotamente a los dispositivos para diagnósticos y actualizaciones, frecuentemente mediante credenciales compartidas o conexiones VPN sin MFA. Este acceso de terceros raramente está auditado de forma activa por el hospital, y es un vector habitual de intrusión inicial.
Configuraciones de fábrica sin endurecer
Los dispositivos se entregan con credenciales por defecto, puertos de administración abiertos y configuraciones pensadas para facilitar la instalación, no para minimizar la superficie de ataque. El proceso de bastionado específico para dispositivos médicos no está estandarizado ni exigido de forma sistemática, y muchos equipos de TI hospitalarios carecen del conocimiento clínico para modificar configuraciones sin afectar a la funcionalidad.
Marco regulatorio europeo aplicable
El Reglamento de Dispositivos Médicos (MDR)
El Reglamento (UE) 2017/745 sobre dispositivos médicos (MDR), en aplicación plena desde mayo de 2021, exige que los dispositivos con software o con funciones conectadas incorporen medidas de seguridad en su diseño desde el origen. El Anexo I del MDR establece que los fabricantes deben minimizar los riesgos derivados de la conexión a otros dispositivos o redes, implementar autenticación, controles de acceso y protección de la integridad de los datos, y garantizar que el software puede actualizarse de forma segura. La guía MDCG 2019-16 de la Comisión Europea desarrolla estos requisitos con criterios técnicos específicos para ciberseguridad en el ciclo de vida del dispositivo.
NIS2 y el sector sanitario como entidad esencial
La Directiva NIS2 clasifica los hospitales, centros de diagnóstico y fabricantes de dispositivos médicos críticos como entidades esenciales, lo que implica las obligaciones más exigentes de la directiva: gestión de riesgos documentada, notificación de incidentes en 24 horas para alertas tempranas y en 72 horas para notificación formal, medidas de seguridad de la cadena de suministro (incluyendo los fabricantes de dispositivos) y responsabilidad directa de la alta dirección. Para entender qué implica la transposición en España, el artículo sobre NIS2 en España desarrolla el alcance de las obligaciones específicas para el sector.
RGPD y datos de categoría especial
Los datos de salud son datos de categoría especial bajo el artículo 9 del RGPD, lo que eleva el nivel de protección exigible y las consecuencias de una brecha. Una filtración de datos de pacientes generada por un dispositivo médico comprometido puede suponer multas de hasta el 4% del volumen de negocio global, y la doctrina de la AEPD en los últimos años ha endurecido significativamente el criterio sobre medidas de seguridad insuficientes en el sector sanitario. Para ver cómo implementar el RGPD de forma operativa en este contexto, puede ser útil consultar cómo implementar el RGPD en organizaciones con datos sensibles.
ISO 14971 y la gestión de riesgos en el ciclo de vida
ISO 14971 es el estándar internacional de gestión de riesgos para dispositivos médicos, requerido por el MDR y adoptado como norma armonizada UE. Define el proceso sistemático de identificación, estimación, evaluación y control de riesgos, incluyendo desde la versión de 2019 una extensión explícita a riesgos de ciberseguridad (IEC TR 80002-1). Para fabricantes, la ausencia de un proceso conforme con ISO 14971 bloquea el marcado CE. Para operadores sanitarios, la gestión de riesgos según ISO 14971 proporciona el marco para documentar las decisiones sobre dispositivos de terceros en su red.
Estándares técnicos aplicables
Más allá del marco regulatorio, hay estándares técnicos que proporcionan los controles concretos para proteger dispositivos médicos conectados.
IEC 62443 es el estándar de ciberseguridad para sistemas de control industrial y automatización, ampliamente adoptado en el sector sanitario para la protección de redes hospitalarias que incluyen dispositivos médicos. Define niveles de seguridad (SL1 a SL4) y establece requisitos para fabricantes (IEC 62443-4-1 y 4-2) y para operadores (IEC 62443-2-1 y 3-3).
ISO/IEC 80001-1 aborda específicamente la gestión de riesgos para redes de TI que incorporan dispositivos médicos, con foco en la responsabilidad compartida entre el fabricante del dispositivo y el operador de la red.
ISO 27001 como marco de gestión de la seguridad de la información proporciona la estructura organizativa para gestionar la ciberseguridad hospitalaria de forma sistemática. La guía ISO 27001 en formato PDF da una buena base de partida para entender el alcance del estándar antes de iniciar una implementación.
Controles técnicos y organizativos prioritarios
Inventario y visibilidad continua
Sin un inventario actualizado de dispositivos médicos conectados en la red, ningún programa de ciberseguridad es operativo. El inventario debe incluir fabricante, modelo, versión de firmware, sistema operativo, protocolos de comunicación, fecha del último parche y estado de soporte del fabricante. Herramientas específicas para IoT médico como Claroty, Medigate o Asimily pueden automatizar el descubrimiento y la monitorización.
Segmentación de red clínica
La segregación del tráfico de dispositivos médicos del tráfico administrativo y del acceso a Internet es la medida de contención más eficaz para limitar el movimiento lateral en caso de compromiso. Un dispositivo infectado en una VLAN segmentada con política de denegación por defecto no puede propagar el ransomware al sistema de historia clínica. Esta segmentación debe contemplar también el tráfico de actualización de firmware y el acceso remoto de fabricantes.
Gestión del ciclo de vida y política de fin de soporte
La organización sanitaria necesita una política explícita para dispositivos cuyo fabricante ha dejado de proporcionar actualizaciones de seguridad. Las opciones son: compensar el riesgo con controles adicionales de red (aislamiento, monitorización intensiva), exigir contractualmente al fabricante la extensión del soporte de seguridad, o planificar la sustitución anticipada del dispositivo con un argumento de riesgo clínico documentado.
Gestión del acceso de terceros
Cada acceso remoto de fabricante o proveedor de mantenimiento debe registrarse, autorizarse con antelación, limitarse en tiempo y alcance, y auditarse. El uso de credenciales compartidas debe eliminarse. El estándar mínimo es MFA para acceso remoto y registro en SIEM de todas las sesiones de acceso privilegiado.
Evaluación de riesgos documentada
Una evaluación de riesgos estructurada y revisada anualmente es la base documental para demostrar diligencia ante la AEPD, los auditores NIS2 y los organismos de inspección sanitaria. Sin esa documentación, la organización no puede demostrar que ha tomado decisiones informadas sobre los riesgos que asume con su ecosistema de dispositivos conectados.
La cadena de responsabilidad: fabricante y operador sanitario
El MDR y la NIS2 establecen una cadena de responsabilidad compartida que genera fricciones prácticas habituales.
El fabricante es responsable de diseñar el dispositivo con ciberseguridad por defecto conforme al Anexo I del MDR, proporcionar documentación técnica de seguridad para el marcado CE, notificar vulnerabilidades conocidas y mantener un proceso de actualización seguro durante el ciclo de vida esperado del producto.
El operador sanitario, ya sea un hospital, una clínica o una red de atención primaria, es responsable de configurar y mantener los dispositivos de forma segura en su entorno específico, gestionar el acceso a ellos, monitorizar su comportamiento en red y notificar incidentes que afecten a su funcionamiento bajo NIS2.
Cuando el fabricante deja de dar soporte, la responsabilidad recae completamente en el operador. La fricción más común es que las responsabilidades del fabricante terminan donde empiezan las del operador, y esa frontera no siempre está bien definida en los contratos de adquisición. Establecerla contractualmente antes de la instalación del dispositivo es una medida preventiva que pocos centros aplican sistemáticamente.
Cómo puede ayudar PrivaLex
PrivaLex acompaña tanto a fabricantes de dispositivos médicos como a operadores sanitarios en la implementación de los controles de ciberseguridad exigidos por el MDR, NIS2 y el RGPD.
Para fabricantes, el trabajo cubre el análisis de brechas respecto a los requisitos del MDR y la guía MDCG 2019-16, la integración de ciberseguridad en el proceso de diseño conforme con ISO 14971, y la documentación técnica necesaria para el marcado CE con funciones conectadas.
Para operadores sanitarios, el trabajo cubre la evaluación del ecosistema de dispositivos médicos conectados, la definición de políticas de segmentación de red y acceso de terceros, la elaboración de la evaluación de riesgos exigida por NIS2, y el acompañamiento en la respuesta a incidentes con dispositivos médicos implicados.
Conclusión
La ciberseguridad en dispositivos médicos conectados no es un problema técnico que resolver una vez: es un programa continuo que requiere inventario actualizado, segmentación activa, gestión del ciclo de vida, controles sobre terceros y una evaluación de riesgos viva.
El marco regulatorio europeo, con el MDR, NIS2 y el RGPD como pilares, ya exige esos controles de forma explícita tanto a fabricantes como a operadores sanitarios. La pregunta no es si hay que hacerlo, sino cuándo y con qué nivel de madurez.
Si quieres saber qué brechas tiene tu organización en la protección de dispositivos médicos conectados, solicita tu risk assessment gratuito. Si tienes ya un alcance definido, reserva una sesión con nuestro equipo.
Preguntas Frecuentes
El Reglamento (UE) 2017/745 (MDR) exige que los dispositivos médicos con software o con funciones conectadas incorporen controles de seguridad desde el diseño: autenticación de usuarios y dispositivos, control de acceso, protección de la integridad de los datos, cifrado de comunicaciones, capacidad de actualización segura del software y documentación del proceso de gestión de riesgos de ciberseguridad durante el ciclo de vida. La guía MDCG 2019-16 desarrolla los criterios técnicos concretos para cumplir con estos requisitos.
Sí. La Directiva NIS2 clasifica los hospitales como entidades esenciales, lo que conlleva las obligaciones más exigentes de la directiva: gestión de riesgos documentada y revisada, notificación de incidentes en plazos muy estrictos (alerta temprana en 24 horas, notificación formal en 72 horas), medidas de seguridad de la cadena de suministro que incluyen a los fabricantes de dispositivos médicos contratados, y responsabilidad directa de la dirección por el incumplimiento. En España, la transposición está en tramitación parlamentaria, el INCIBE-CERT y el CCN-CERT ya operan como CSIRTs de referencia. Los centros de diagnóstico, laboratorios clínicos y otros proveedores de servicios sanitarios críticos también pueden quedar dentro del alcance dependiendo de su tamaño y criticidad.
La responsabilidad recae sobre el operador sanitario. Las opciones son: compensar el riesgo residual con controles adicionales de red (aislamiento estricto en VLAN, monitorización de tráfico intensiva, restricción de comunicaciones a lo estrictamente necesario), negociar con el fabricante una extensión contractual del soporte de seguridad, o planificar la sustitución del dispositivo con justificación documentada del riesgo. Mantener un dispositivo sin soporte con acceso a datos de pacientes sin ninguna medida de compensación documentada no es aceptable bajo NIS2 ni bajo el RGPD.
Si el centro es una entidad esencial bajo NIS2, debe notificar al CSIRT nacional, el CCN-CERT en España para el sector público, o el INCIBE-CERT para el sector privado, en un máximo de 24 horas para la alerta temprana y 72 horas para la notificación formal. Si el incidente ha implicado datos de pacientes, también aplica el protocolo de notificación de brechas de datos del RGPD a la AEPD en el plazo de 72 horas desde que el responsable tiene conocimiento. Ambos protocolos corren en paralelo y con plazos independientes.
ISO 27001 proporciona el marco de gestión de la seguridad de la información a nivel organizativo, que es necesario pero no suficiente para el entorno específico de dispositivos médicos conectados. Para estos dispositivos aplican además ISO 14971 (gestión de riesgos específica del dispositivo), IEC 62443 (seguridad de redes con sistemas de control) e ISO/IEC 80001-1 (riesgos en redes que incorporan dispositivos médicos). La combinación de ISO 27001 como marco organizativo con ISO 14971 e IEC 62443 como estándares técnicos específicos es la base más robusta para organizaciones que fabrican u operan dispositivos médicos conectados.
Las mejores prácticas incluyen: autorización previa y documentada para cada sesión de acceso remoto, uso de credenciales individuales (nunca compartidas) con MFA, túnel VPN dedicado y segregado del tráfico clínico general, límite de tiempo estricto en la sesión con cierre automático, grabación de la sesión para auditoría, y registro en el SIEM de todas las acciones realizadas durante el acceso. El contrato con el fabricante debe recoger explícitamente los requisitos de seguridad para el acceso remoto y los registros de auditoría que el fabricante debe conservar y poner a disposición del operador sanitario ante un incidente.
