Rayen: ¿Interoperar sin Seguridad?

Twitter Linkedin Envelope
Twitter Linkedin Envelope

Revista Digital – Información de Mercados – Compra Pública Latam.

El caso de Clínica Dávila, tal como lo reveló el reportaje que detalla el robo de 250 GB de historiales clínicos, resultados de exámenes de VIH y documentos de identidad por parte del grupo Devman, llevó el riesgo para la ciberseguridad en salud a una dimensión profundamente humana. Ya no se trata solo de continuidad operacional o de balance financiero, sino de vidas concretas expuestas a estigmas, discriminación y chantaje a partir de información íntima que nunca debió abandonar el perímetro seguro de una institución de salud. Cuando un grupo de ransomware puede amenazar con publicar historiales de pacientes con VIH en la dark web y fijar una fecha para exponer esa información, el mensaje para la industria es brutal: interoperar sin seguridad por diseño equivale a entregar la dignidad de los pacientes al mejor postor digital.

Tres alertas rojas: Dávila, ISP y FONASA

Lo ocurrido con Clínica Dávila, el ISP y FONASA ya no puede leerse como una secuencia de eventos aislados, sino como la radiografía de un sistema de salud que se digitalizó más rápido de lo que profesionalizó su ciberseguridad. En Dávila, Devman asegura haber robado 250 GB de historiales, exámenes de VIH y cédulas de identidad, y presiona desde la dark web y X para que la clínica pague un rescate bajo amenaza de filtración masiva.

El ciberataque al Instituto de Salud Pública en 2025 paralizó sistemas clave, afectó la interoperabilidad con Aduanas y generó retrasos en exámenes críticos como el VIH y la hepatitis, dejando a los hospitales con demoras significativas en los resultados.

El incidente de ransomware que comprometió a FONASA en 2023 afectó a alrededor de 25 servidores y 250 equipos, con la exfiltración de decenas de gigabytes de información interna y la dependencia de un acceso VPN de un proveedor como vector probable. Tomados en conjunto, estos casos muestran que la debilidad no está en un sistema puntual, sino en la forma en que interoperamos sin una capa homogénea de seguridad y gobierno.

Cuando interoperar encarece la salud

La promesa de la interoperabilidad es clara: menos duplicidad, más continuidad de la atención y decisiones clínicas mejor informadas para los pacientes. Sin embargo, cuando se construye sobre plataformas y procesos sin un gobierno de seguridad robusto, la interoperabilidad se convierte en una fuente de nuevos costos clínicos, operativos y humanos. A esto se suma que la formación de profesionales en interoperabilidad, gobierno de datos y seguridad de la información se ha encarecido y especializado, lo que obliga a repartir estos nuevos costos y responsabilidades entre prestadores, aseguradores, reguladores y proveedores tecnológicos, en lugar de cargar todo el peso sobre un solo actor.

Esos costos se hacen visibles en lo cotidiano:

  • Exámenes y procedimientos repetidos porque la información no está disponible, es incompleta o se considera poco confiable tras incidentes de seguridad.
  • Horas médicas y administrativas dedicadas a confirmar datos que deberían fluir de forma íntegra y trazable entre los sistemas.
  • Mayor probabilidad de errores clínicos cuando la interoperabilidad introduce datos corruptos, inconsistentes o ausentes en el momento crítico de la atención.
  • Listas de espera más largas y reprogramaciones forzadas de atenciones y cirugías cuando los sistemas deben operar en modo degradado o caen por completo.
  • Costos adicionales de soporte técnico, consultorías y horas extra de los equipos de TI para contener incidentes, restaurar respaldos y reconstruir integraciones mal diseñadas.
  • Aumento de las primas de seguros y de las provisiones por riesgo operacional, al ser percibidas las organizaciones como más expuestas debido a la recurrencia o gravedad de los incidentes.
  • Pérdida de productividad clínica por la desconfianza en los sistemas, lo que empuja a algunos equipos a volver a registros manuales o paralelos mientras “se estabiliza” la plataforma digital.

El resultado es que la inversión en conectar sistemas, sin seguridad como requisito de base y sin una estrategia compartida para formar y retener talento especializado, termina por encarecer la operación y debilitar la calidad asistencial.

Ley de interoperabilidad en salud y Ley de Transformación Digital

La Ley 21.668, que establece la interoperabilidad de las fichas clínicas, modifica la Ley 20.584 con un objetivo explícito: garantizar la continuidad del cuidado del paciente, independientemente de quién sea el prestador, obligando a que las fichas clínicas de prestadores públicos y privados interoperen bajo estándares definidos. La ley refuerza la protección de datos personales, exige a los prestadores de servicios conservar la ficha por al menos 15 años y los hace responsables de adoptar medidas que permitan la interoperabilidad segura, en línea con la Ley 19.628 sobre protección de la vida privada.

En paralelo, la Ley 21.180 de Transformación Digital del Estado obliga a los órganos de la Administración a llevar expedientes electrónicos y a cumplir con el principio de interoperabilidad, utilizando plataformas que aseguren la seguridad, la ciberseguridad y la interconexión mediante estándares abiertos. Una norma técnica específica define nodos, servicios centralizados y requisitos de trazabilidad para la red de interoperabilidad estatal, lo que implica que la salud no solo debe interoperar dentro de su propio ecosistema, sino también con otras agencias públicas bajo reglas estrictas de intercambio seguro.

En este marco, interoperar sin seguridad deja de ser una opción cultural para convertirse en una contradicción legal: la misma ley que obliga a compartir datos exige que ello se haga resguardando la confidencialidad, la integridad y la disponibilidad de la información clínica.

La nueva Ley Marco y las organizaciones de importancia vital

La Ley Marco de Ciberseguridad traslada estos problemas desde la esfera “técnica” al ámbito de la seguridad nacional y de la responsabilidad regulatoria. La ley crea una Agencia Nacional de Ciberseguridad, define sectores estratégicos y establece obligaciones estrictas de prevención, respuesta y notificación para quienes operan infraestructuras críticas de la información.

En ese contexto aparece una figura clave: las Organizaciones de Importancia Vital (OIV). En términos simples, una OIV es una organización cuya interrupción impacta de manera grave en servicios esenciales para la población y la seguridad del país; en salud, esto incluye a prestadores, aseguradores, laboratorios, organismos públicos y proveedores tecnológicos cuya falla podría comprometer la atención, el diagnóstico, el financiamiento o la regulación sanitaria.

Ser OIV implica:

  • Estar sometida a obligaciones especiales de ciberseguridad, supervisadas por la Agencia Nacional de Ciberseguridad y los reguladores sectoriales.
  • Demostrar capacidades reforzadas en gestión de riesgos, monitoreo, continuidad operacional y respuesta a incidentes, muy por encima del estándar de una organización común.

En otras palabras, una OIV en salud no puede tratar la interoperabilidad y la seguridad como proyectos opcionales: son condiciones estructurales para seguir operando en un entorno regulado.

ISO 27001:2022 como piso sanitario

La familia de normas ISO 27000, en particular ISO 27001, se consolida como el marco mínimo esperable para que una OIV del sector salud acredite una gestión madura de la seguridad de la información. Pero el estándar relevante hoy no es cualquier versión, sino ISO 27001:2022, que actualiza los controles e incorpora de forma más explícita los riesgos asociados a la nube, la resiliencia, la continuidad digital y la protección de la información en entornos altamente interconectados.

Para una organización sanitaria de importancia vital, avanzar hacia la certificación ISO 27001:2022 no es un “sello” opcional, sino la forma concreta de demostrar que su modelo de gobernanza, sus controles técnicos y sus procesos de mejora continua están alineados con el estándar internacional vigente para proteger datos sensibles y mantener la interoperabilidad de manera segura. En un ecosistema donde los flujos de datos clínicos atraviesan múltiples organizaciones, redes y proveedores, esta certificación establece una base común de confianza sin la cual la conversación sobre ciberseguridad queda en el terreno de las declaraciones y no en el de la evidencia.

Interoperabilidad segura como política de alta dirección

Con el caso Dávila, la cobertura sobre el ciberataque al ISP y el ransomware contra FONASA, la discusión dejó de ser si el sector salud “podría” ser atacado. La pregunta que hoy debería hacerse a cada directorio y comité ejecutivo es qué tan preparada está su organización para no ser el próximo ejemplo en la lista, y cuánto del riesgo actual proviene de integrar e interoperar sin seguridad por diseño.

Eso implica decisiones concretas:

  • Tratar la interoperabilidad, la ciberseguridad y el cumplimiento de la Ley 21.668, la Ley 21.180 y la Ley Marco de Ciberseguridad como temas de directorio, incorporados a la matriz de riesgo y al modelo de negocio, no solo al roadmap tecnológico.
  • Exigir, como condición de conexión a los ecosistemas clínicos y regulatorios, y a la red de interoperabilidad del Estado, que los actores críticos avancen hacia la certificación ISO 27001:2022 y adopten planes formales de respuesta a incidentes.
  • Comunicar con transparencia a pacientes y colaboradores qué se está haciendo para proteger sus datos, entendiendo que la confianza es hoy un activo tan relevante como la infraestructura física.

En un país que ya vio a un grupo como Devman amenazar con publicar historiales de pacientes con VIH, y a organismos fundamentales como el ISP y FONASA golpeados por ransomware, interoperar sin seguridad dejó de ser una opción racional. Es, simplemente, un costo diferido que tarde o temprano se cobra en la salud, la confianza y la reputación del sistema.

Última edición