Bajo el bisturí: la industria sanitaria contraataca ante una reforma apresurada de HIPAA

Es una imagen poco común: las principales organizaciones sanitarias del país, desde hospitales de élite hasta grandes asociaciones médicas, están unidas - no en busca de una cura, sino en una batalla contra lo que consideran una norma de ciberseguridad peligrosamente irrealista. Mientras el Departamento de Salud y Servicios Humanos (HHS) impulsa una reforma de la Regla de Seguridad de HIPAA en respuesta al aumento de ciberataques, los actores del sector lanzan una advertencia: “No tan rápido”.

La actualización propuesta por el HHS busca adaptar los requisitos de seguridad de HIPAA a las amenazas cibernéticas actuales - piense en bandas de ransomware que retienen historiales médicos como rehenes, o brechas devastadoras como el ataque a Change Healthcare, que comprometió los datos de 190 millones de estadounidenses. Las nuevas reglas exigen desde autenticación multifactor (MFA) hasta segmentación de redes, y requieren un cumplimiento rápido: solo 60 días tras su publicación, con implementación total en 180 días.

La reacción no se ha hecho esperar y ha sido contundente. Una coalición de más de 100 organizaciones, incluyendo el College of Healthcare Information Management Executives (CHIME), Yale New Haven Health System y la American Medical Association, envió una carta al HHS solicitando la “retirada inmediata” de la norma. ¿Sus principales preocupaciones? Costes financieros abrumadores, desajuste técnico con las operaciones hospitalarias reales y plazos que califican de “irrazonables”.

“El HHS estima que la implementación de MFA puede hacerse en una hora y media”, dice Chelsea Arnone, directora de asuntos federales de CHIME. “Pero para los hospitales, la MFA afecta a todos los flujos de trabajo clínicos y requiere meses de rediseño, no horas”. El mismo desfase afecta a otros requisitos: la segmentación de redes, por ejemplo, el HHS calcula que lleva menos de cinco horas, mientras que los CISOs hospitalarios insisten en que requiere semanas de rediseño arquitectónico y pruebas.

El cumplimiento no es solo cuestión de accionar un interruptor. Los Acuerdos de Asociados Comerciales (BAA) - los contratos que regulan el intercambio de datos con proveedores - tendrían que renegociarse en todo el sector, un proceso que incluso para hospitales con muchos recursos podría llevar un año o más. Y todo esto, mientras los hospitales deben mantener la atención a pacientes las 24 horas, con muy poca tolerancia a la inactividad de los sistemas.

Líderes en ciberseguridad como Eran Barak, CEO de Mind, coinciden en que la intención es correcta, pero advierten que “controles prescriptivos con plazos ajustados, especialmente en sistemas heredados, no serán realistas para muchas organizaciones”. ¿El riesgo? Los hospitales podrían enfrentar interrupciones operativas que pongan en peligro la atención al paciente - precisamente lo que la norma pretende proteger.

Algunos en el sector señalan la Ley de Ciberseguridad y Resiliencia en la Atención Sanitaria de 2025 como una vía más práctica, ya que combina mandatos con subvenciones para los hospitales. Otros instan al HHS a implementar las reglas por fases, priorizar los riesgos más altos y ofrecer flexibilidad ante las realidades clínicas.

Por ahora, el enfrentamiento continúa. El sector sanitario necesita desesperadamente una ciberseguridad más sólida, pero los expertos advierten que un enfoque apresurado y uniforme podría dejar a los pacientes - y a sus datos - más vulnerables que nunca. ¿Atenderán los legisladores el llamado al equilibrio, o resultará la cura peor que la enfermedad?

WIKICROOK

• HIPAA: HIPAA es una ley estadounidense que protege la privacidad y seguridad de los datos de salud, aunque puede no cubrir todos los datos neuronales recogidos en investigaciones.
• Multi: Multi se refiere al uso combinado de diferentes tecnologías o sistemas - como satélites LEO y GEO - para mejorar la fiabilidad, cobertura y seguridad.
• Segmentación de redes: La segmentación de redes divide una red en secciones más pequeñas para controlar el acceso, mejorar la seguridad y contener amenazas en caso de una brecha.
• Acuerdo de Asociado Comercial (BAA): Un BAA es un contrato exigido por HIPAA entre entidades sanitarias y proveedores para proteger y gestionar la privacidad de la información de salud de los pacientes.
• Ransomware: El ransomware es un software malicioso que cifra o bloquea datos, exigiendo un pago a las víctimas para restaurar el acceso a sus archivos o sistemas.