Ciberseguridad 
Aunque Jira funciona como sistema de registro para muchos equipos de DevOps y de TI, la recuperación de secretos o la aprobación de solicitudes de información
Publicado el marzo 24, 2026
Según HIPAA Journal, el phishing sigue siendo uno de los métodos de ataque más comunes y eficaces utilizados contra organizaciones del sector del cuidado de la salud y es una de las principales causas de violaciones de datos. A medida que el sector del cuidado de la salud se digitaliza, los ciberdelincuentes se centran cada vez más en el personal clínico y administrativo para acceder a los registros médicos electrónicos (EHR) y a otra información médica protegida (PHI). Caer en ataques de phishing puede suponer pérdidas económicas, interrupciones en la atención al paciente, registros médicos expuestos y violaciones del cumplimiento de la HIPAA.
Las organizaciones del sector del cuidado de la salud pueden proteger los datos de los pacientes frente a los ataques de phishing, capacitando a sus empleados en materia de concientización sobre el phishing, aplicando métodos de autenticación robustos y utilizando un gestor de contraseñas de confianza.
Por qué la industria del cuidado de la salud es blanco de ataques de phishing
Los ciberdelincuentes se dirigen a las organizaciones de salud porque almacenan datos altamente valiosos en entornos de rápido movimiento con fuerzas de trabajo grandes y distribuidas. A diferencia de la mayoría de las industrias, el cuidado de la salud maneja información personal confidencial, importantes transacciones financieras y servicios de vida o muerte, lo que lo convierte en un objetivo especialmente vulnerable a los ataques de phishing.
Datos valiosos del paciente
Las organizaciones del cuidado de la salud almacenan cantidades sustanciales de PHI, incluyendo recetas, historiales médicos, diagnósticos, datos de seguros y números del Seguro Social (SSN). La PHI puede ser significativamente más valiosa para los ciberdelincuentes que la mayoría de la información de identificación personal (PII), como los números de tarjetas de crédito, porque las tarjetas de crédito se pueden cancelar y volver a emitir rápidamente. A diferencia de las tarjetas de crédito, los registros médicos y los SSN no se pueden reemplazar fácilmente, lo que los hace valiosos para la explotación a largo plazo. La PHI robada puede ser utilizada para cometer robo de identidad médica, fraude de seguros e incluso estafas de facturación. Debido a su profundidad y permanencia, los datos de atención médica con frecuencia se venden por más que los datos financieros en la dark web, lo que convierte a los hospitales y a las aseguradoras en objetivos lucrativos.
Entornos clínicos de ritmo acelerado
Los entornos del cuidado de la salud son de gran presión, en los que los profesionales clínicos y el personal deben responder con urgencia a las necesidades de los pacientes. En las salas de emergencia y las unidades de cuidados intensivos, la velocidad es esencial, y los ataques de phishing aprovechan esa urgencia. Los correos electrónicos de phishing pueden afirmar que se requiere una acción inmediata, que un sistema crítico debe actualizarse o que el acceso a una cuenta está por vencer. Debido a la urgencia de estos mensajes, un profesional del cuidado de la salud tiene más probabilidades de abrirlos y actuar rápidamente sin reflexionar. Es posible que los profesionales del cuidado de la salud, debido a su ajetreada agenda, no se tomen el tiempo de verificar los dominios de los remitentes, pasar el cursor por encima de enlaces sospechosos o verificar las peticiones no solicitadas de acceso o credenciales. Los ciberdelincuentes aprovechan esto a su favor, diseñando campañas de phishing en consecuencia para aumentar sus posibilidades de éxito.
Fuerzas de trabajo distribuidas y de telesalud
Los grandes hospitales emplean a miles de profesionales del cuidado de la salud, dependen de proveedores externos y coordinan con aseguradoras, lo que genera sistemas amplios e interconectados. Con la creciente frecuencia de la telemedicina, las organizaciones del cuidado de la salud deben ampliar el acceso remoto seguro para garantizar que los EHR, portales para pacientes y otras plataformas estén protegidos. Cada nuevo usuario, dispositivo y conexión amplía la superficie de ataque, aumentando el riesgo de phishing.
Ejemplos de ataques de phishing en el sector del cuidado de la salud
Los ciberdelincuentes ajustan sus tácticas para imitar los procesos y flujos de trabajo clínicos reales, lo que hace que los ataques de phishing en el sector del cuidado de la salud sean más efectivos. Estos son algunos ejemplos comunes de cómo pueden verse estos ataques de phishing:
- Páginas falsas de inicio de sesión a EHR: Los ciberdelincuentes envían correos electrónicos haciéndose pasar por sistemas EHR, alegando que la cuenta de EHR de un usuario está suspendida o que su contraseña requiere que se restablezca. Si un usuario introduce sus credenciales en la página suplantada, los ciberdelincuentes las capturan para acceder a la PHI o moverse lateralmente dentro de la red clínica
- Ransomware transmitido mediante correos de phishing: Un correo electrónico de phishing puede tener un archivo adjunto etiquetado como "Factura pendiente" o "Resultados actualizados de los análisis de pacientes", lo que incita a los profesionales del cuidado de la salud a descargar el contenido. Sin embargo, el archivo adjunto puede entregar malware o un enlace malicioso que conceda acceso, lo que puede acabar resultando en ransomware. El ransomware puede impedir que los profesionales del cuidado de la salud realicen cirugías o procesen recetas urgentes, afectando directamente a la seguridad y atención del paciente.
- Suplantación de identidad en el correo electrónico empresarial (BEC): Los empleados del sector del cuidado de la salud pueden recibir correos electrónicos que parecen provenir del director financiero o de un gerente de su organización, en los que se les solicita actualizar la información de nómina o modificar los datos de pago de los proveedores. Si los empleados acceden a estas solicitudes, los fondos pueden transferirse directamente a los ciberdelincuentes y la información médica protegida (PHI) confidencial puede quedar expuesta.
- Spear phishing: El spear phishing es un tipo de ataque de phishing dirigido a personas específicas, como ejecutivos. Un médico o un ejecutivo puede recibir un correo electrónico personalizado que haga referencia a información disponible públicamente, pero que contenga un documento malicioso disfrazado como el análisis del caso de un paciente o una solicitud urgente. Los ciberdelincuentes se dirigen a los médicos debido a sus privilegios de acceso a los EHR y a los ejecutivos por su capacidad para realizar transferencias bancarias.
Cómo las organizaciones de salud pueden evitar caer en ataques de phishing
La prevención de ataques de phishing en el sector del cuidado de la salud comienza con la capacitación de los empleados, una autenticación sólida, controles de acceso granulares y planes claros de respuesta ante incidentes.
Capacitar al personal del cuidado de la salud en materia de concientización sobre el phishing
Los empleados son el principal objetivo del phishing, por lo que es fundamental proporcionarles capacitación continua en materia de seguridad. Los clínicos, el personal de facturación, los administradores y los equipos de TI deben reconocer correos electrónicos sospechosos antes de interactuar con ellos. El personal de atención médica debe estar capacitado para identificar dominios de correo electrónico falsos, pasar el cursor sobre los enlaces antes de hacer clic, nunca descargar archivos adjuntos no solicitados y reportar correos electrónicos sospechosos. Además de la capacitación habitual, las organizaciones del cuidado de la salud deben ejecutar pruebas de phishing simuladas periódicamente para identificar en qué áreas los empleados necesitan mejorar en materia de seguridad.
Requerir autenticación multifactor (MFA) en todas partes
Como algunos intentos de phishing seguirán teniendo éxito, es necesario implementar la autenticación multifactor (MFA). Gracias a la implementación de la autenticación multifactor (MFA), las credenciales robadas no pueden utilizarse únicamente para obtener acceso no autorizado a los sistemas de atención médica. Las organizaciones del cuidado de la salud deben exigir MFA para cuentas de correo electrónico de empleados, sistemas de EHR, plataformas de telemedicina y todas las cuentas privilegiadas. Algunos métodos de autenticación multifactor (MFA) son más resistentes al phishing que otros; las claves de seguridad de hardware, las claves de paso y la biometría son mejores métodos de autenticación multifactor que los códigos basados en SMS, que pueden ser interceptados y explotados.
Implemente el acceso con privilegios mínimos y la seguridad de confianza cero
Limitar el acceso a PHI reduce el daño potencial de una cuenta comprometida. Con el acceso con privilegios mínimos, los usuarios solo tienen acceso a los sistemas y datos que necesitan para realizar su trabajo. Por ejemplo, un enfermero no debería tener acceso completo a los datos de facturación, y a los proveedores externos se les debería limitar el acceso únicamente a los recursos que necesiten. Los Controles de Acceso Basados en Roles (RBAC) apoyan este enfoque de privilegio mínimo asignando licencias en función de los puestos y no de los individuos. Cuando se combina con los principios de seguridad de confianza cero, en los que cada solicitud de acceso se verifica continuamente, las organizaciones de salud pueden evitar que los ciberdelincuentes se muevan lateralmente a través de sus redes si las credenciales se ven comprometidas.
Mejore la seguridad del correo electrónico con filtros antiphishing
Contar con una solución avanzada de seguridad del correo electrónico puede detener muchos intentos de phishing antes incluso de que lleguen a la bandeja de entrada de un empleado del sector del cuidado de la salud. Los sistemas modernos de filtrado antiphishing utilizan la detección de amenazas basada en inteligencia artificial, el análisis de URL y los protocolos de autenticación de dominios para analizar enlaces y archivos adjuntos en busca de intenciones maliciosas. Incluso con un filtrado avanzado, verifique que los enlaces o archivos adjuntos sean seguros antes de hacer clic o descargar.
Crear un plan sólido de respuesta a incidentes
Las organizaciones del cuidado de la salud deben asumir que algunos intentos de phishing tendrán éxito, incluso con medidas preventivas adecuadas. Un plan de respuesta ante incidentes claro minimiza los posibles daños y garantiza que los incidentes de seguridad se gestionen lo más rápidamente posible. Un plan eficaz de respuesta ante incidentes debe hacer lo siguiente:
- Establecer procedimientos claros para denunciar correos electrónicos sospechosos
- Establecer protocolos para los equipos de cumplimiento
- Determinar los pasos para aislar cuentas comprometidas en la red
- Elaborar procedimientos para la investigación forense
Invertir en un gestor de contraseñas seguro
Si los empleados del sector sanitario utilizan contraseñas débiles o reutilizadas en múltiples sistemas, una sola credencial comprometida puede proporcionar a los ciberdelincuentes acceso a múltiples cuentas privilegiadas. Un gestor de contraseñas seguro como Keeper® ayuda a las organizaciones del cuidado de la salud a eliminar la reutilización de contraseñas, generar contraseñas únicas para cada cuenta, almacenar credenciales de forma segura y compartir el acceso de manera segura entre los miembros del equipo. En entornos que requieren acceso compartido, la gestión segura de las contraseñas es fundamental.
Proteja los datos de los pacientes con Keeper
Los ataques de phishing en el sector del cuidado de la salud ponen directamente en peligro la seguridad del paciente y el cumplimiento normativo. Para adoptar un enfoque proactivo frente al phishing, las organizaciones del cuidado de la salud deben evaluar sus prácticas de seguridad actuales, realizar pruebas de phishing, implementar una autenticación multifactor resistente al phishing y capacitar a los empleados en la concientización sobre este tema. Al mejorar las defensas con un gestor de contraseñas seguro como Keeper, las organizaciones del cuidado de la salud no solo protegen la PHI, sino que también salvaguardan a su personal y pacientes.
Comience hoy su prueba gratis de Keeper para proteger los datos de los pacientes y los flujos de trabajo clínicos confidenciales en toda su organización.
