Protección digital en salud: hacia una política nacional de ciberseguridad médica
La brecha regulatoria que frena el avance de la ciberseguridad médica en México
Columna Dispositivos Médicos
México avanza en salud digital, pero la infraestructura conectada crece más rápido que su blindaje. La ausencia de lineamientos oficiales deja vulnerables a hospitales, dispositivos y sistemas críticos. Proteger la tecnología médica es, hoy, una prioridad de seguridad nacional.
Carlos Salazar Gaytán
México ha logrado avances importantes en la adopción tecnológica dentro del sector salud durante la última década. El país ha pasado de modelos de atención fragmentada a esquemas más integrados, con un uso creciente de plataformas clínicas, dispositivos portátiles, soluciones de imagenología digital, sensores de monitoreo remoto e historias clínicas interoperables. En Jalisco, un proyecto pionero de tamizaje de retinopatía diabética asistido por inteligencia artificial; en Nuevo León, la integración de IA en imagenología y procesos quirúrgicos por parte de CHRISTUS Muguerza; y en la Ciudad de México, el uso de IA en radiología dentro del Hospital Juárez, confirman que la salud digital ya forma parte del presente en modelos de atención que comienzan a permear a nivel estatal.
Sin embargo, esta integración tecnológica trae consigo desafíos que no siempre son visibles para los sistemas de salud. La conectividad, aunque estratégica, abre puertas susceptibles a ataques digitales que pueden comprometer no solo datos, sino la continuidad de servicios esenciales.
Al mismo tiempo, la expansión tecnológica no ha corrido a la par de una estrategia nacional que garantice protección digital en hospitales públicos y privados. Ese rezago nos coloca en un punto crítico.
La amenaza que crece en silencio
El número de dispositivos médicos conectados a redes hospitalarias se ha multiplicado. Bombas de infusión, respiradores, sistemas de imagenología o plataformas clínicas ahora dependen de software vulnerable si no se actualiza o monitorea de manera adecuada.
A escala global, el sector salud es el más atacado en ciberseguridad. El Cost of a Data Breach 2023 de IBM reporta un costo promedio por incidente de más de 10 millones de dólares para organizaciones sanitarias, el doble de sectores como el financiero o energético. La Unión Europea documentó más de 300 ataques graves en 2023, varios dirigidos a infraestructura crítica.
América Latina tampoco es la excepción. Brasil, Argentina y Colombia han enfrentado ataques con software malicioso que paralizaron hospitales durante días. México, por su parte, no registra incidentes masivos públicos, pero los riesgos son equivalentes. Muchos hospitales carecen de políticas básicas de protección digital, y numerosos dispositivos con software integrado se utilizan sin protocolos de actualización ni gestión de vulnerabilidades.
Una industria sin blindaje digital
Mientras que la FDA de Estados Unidos exige desde marzo de 2024 que todo dispositivo médico conectado incluya un plan integral de ciberseguridad para su aprobación, México aún no cuenta con lineamientos similares.
La FDA ya estableció requisitos como gestión de vulnerabilidades, actualizaciones de seguridad, protección contra accesos no autorizados, trazabilidad de software y planes de respuesta ante incidentes. Estas medidas buscan proteger datos y asegurar la continuidad operativa, pues una bomba de infusión manipulada o un software de diagnóstico vulnerado representa un riesgo vital.
En México, esta discusión no ha llegado al ámbito regulatorio. No existe una NOM que contemple ciberseguridad para dispositivos médicos, ni obligaciones claras por parte de Cofepris o la Secretaría de Salud. Tampoco hay estándares mínimos aplicables a hospitales públicos o privados, salvo iniciativas aisladas de centros de alta especialidad.
Una efeméride que pasó de largo
El 30 de noviembre se conmemoró el Día Internacional de la Seguridad de la Información. Mientras sectores como banca, energía o defensa realizaron campañas y ajustes estratégicos, en salud el tema pasó desapercibido.
Esto contrasta con la relevancia de la salud digital, una de las infraestructuras más críticas y vulnerables del país. Contar con dispositivos conectados, plataformas clínicas o interoperabilidad no es suficiente si el sistema carece de blindaje digital.
Sin una estrategia sólida, la transformación digital del sector puede convertirse en un riesgo sistémico.
¿Qué necesita México?
Desde la Asociación Nacional de Proveedores de la Salud (ANAPS), se reconoce la necesidad urgente de acompañar la innovación con una visión regulatoria robusta. Entre las acciones prioritarias destacan:
- Emitir una Guía Técnica de Ciberseguridad Médica desde Cofepris o mediante coordinación interinstitucional, basada en mejores prácticas internacionales (FDA, OMS, ENISA).
- Actualizar las Normas Oficiales Mexicanas para incluir criterios específicos para equipos con software o conectividad.
- Implementar protocolos hospitalarios obligatorios para identificar riesgos, actualizar dispositivos, segmentar redes y manejar incidentes.
- Formar capacidades técnicas especializadas en ciberseguridad clínica dentro de hospitales, fabricantes y organismos reguladores.
La OMS, en su Estrategia Global sobre Salud Digital 2020–2025, subraya que la ciberseguridad debe ser un eje prioritario para garantizar la sostenibilidad de los sistemas de salud digital y la protección de datos y dispositivos conectados.
Conclusión: proteger la tecnología es proteger la vida
México avanza hacia un sistema de salud más moderno y digital, pero la innovación sin seguridad es una ilusión peligrosa.
La ciberseguridad en dispositivos médicos debe convertirse en parte del lenguaje cotidiano del sector. Así como se habla de bioseguridad o farmacovigilancia, es indispensable integrar la conversación sobre actualizaciones, monitoreo, protección de datos y protocolos digitales.
Cada dispositivo que se conecta —en una clínica rural o en un hospital de tercer nivel— es una puerta que debe protegerse con rigor. Esa llave se llama ciberseguridad.
