Seguridad sanitaria de extremo a extremo: IAM, PAM y MFA

En Anatomía de Grey, el suspense se concentra en quirófano. Luces intensas, respiraciones contenidas, relojes que avanzan demasiado rápido… y la mirada decidida de Meredith Grey tomando decisiones a contrarreloj. 

Pero en la vida real, un momento crítico para un hospital no siempre ocurre frente a un bisturí. También puede llegar en silencio, lejos de la sala de operaciones, cuando alguien que no debería accede a un sistema que guarda historiales médicos, resultados de pruebas o datos personales de miles de pacientes. 

Y no hablamos de ciencia ficción. Según el ENISA Threat Landscape: Health Sector, España es el segundo país de Europa con más ciberataques al sector sanitario: 25 incidentes entre 2021 y 2023. En el 68% de los casos, el origen fue una mala configuración de seguridad. La puerta de entrada más habitual: los accesos privilegiados. 

Identidades: el verdadero campo de batalla en la ciberseguridad sanitaria

En un hospital, todo el mundo necesita entrar a algo. Médicos, personal administrativo, proveedores… incluso pacientes. Pero no todos deberían tener las mismas llaves. 

Aquí es donde entran en juego la gestión de identidades y accesos (IAM) y la gestión de accesos privilegiados (PAM). 

Las historias clínicas son oro puro para un ciberdelincuente: información completa, personal y, en los mercados ilegales, muy bien pagada. Y el reto no acaba ahí. En sanidad conviven sistemas modernos con otros heredados que no siempre “se entienden”, y las medidas de seguridad deben ser lo bastante sólidas para proteger… sin frenar ni un segundo el trabajo clínico. 

El problema es que muchas de las brechas más graves no empiezan con un fallo técnico, sino con un fallo en la identidad: robo de credenciales, privilegios mal gestionados o un simple caso de ingeniería social. 

Por eso, una estrategia sólida de IAM y PAM no es solo recomendable: es la manera más directa de cerrar esas grietas antes de que se conviertan en emergencias. 

Cómo se traduce esto en la práctica 

Con IAM y PAM, el hospital puede tener algo tan simple (y tan potente) como que un médico acceda a todos los sistemas que necesita con una sola autenticación. Sin llamadas al soporte técnico. Sin retrasos. 

Si alguien cambia de puesto o deja la organización, los accesos se actualizan o se eliminan automáticamente. Y las revisiones periódicas de permisos no son un capricho: son la forma más directa de evitar que alguien conserve llaves que ya no debería tener. 

En la parte de PAM, hablamos de guardar las credenciales privilegiadas en bóvedas seguras, registrar cada sesión de administrador para auditorías, dar privilegios elevados solo cuando es estrictamente necesario y aplicar siempre el principio del menor privilegio. 

Con esto, ya tenemos claro quién puede entrar y a qué puede acceder. 

El papel de la MFA en hospitales 

La siguiente pregunta es inevitable: ¿cómo asegurarnos de que esa persona es realmente quien dice ser? 

Ahí es donde entra la autenticación multifactor (MFA), añadiendo una capa extra que va más allá de la contraseña.  Una MFA pensada para entornos sanitarios incluye: 

• Factores que no interrumpen el trabajo clínico: tarjetas de proximidad, biometría o notificaciones push. 

• Autenticación basada en riesgo: ajusta las verificaciones según el contexto, la ubicación y la sensibilidad de los recursos. 
• Protocolos de acceso de emergencia: permiten entrar rápidamente a los sistemas en situaciones críticas, manteniendo controles compensatorios. 

Un plan paso a paso para proteger lo más crítico 

La MFA cierra muchas puertas, pero no lo hace todo sola.
Para que IAM, PAM y MFA funcionen de verdad, hay que integrarlos dentro de un plan bien estructurado. Uno que no se quede en buenas intenciones, sino que marque qué hacer primero, qué después y cómo mantenerlo en el tiempo. 

Una estrategia de seguridad de identidad en sanidad debería aplicarse en fases: 

1. Evaluar la situación actual: inventariar los sistemas con datos sensibles, mapear los controles de acceso existentes, identificar cuentas privilegiadas de alto riesgo y documentar flujos clínicos que requieran medidas especiales. 
2. Proteger lo más urgente: habilitar MFA para accesos remotos, proteger cuentas administrativas con gestión segura de credenciales, establecer accesos de emergencia y revisar permisos en sistemas críticos. 
3. Construir capacidades básicas: implantar SSO, conectar la gestión de accesos con RR. HH. para aprovisionamiento automático, monitorizar sesiones en sistemas de alto riesgo y definir roles acordes con las funciones clínicas. 
4. Avanzar hacia medidas más sofisticadas: implantar acceso Just-in-Time, autenticación basada en riesgo, automatizar informes de cumplimiento y reforzar la formación y pruebas de seguridad. 

El equipo invisible que mantiene el hospital en marcha 

En Anatomía de Grey, cuando Meredith, Bailey o Karev salvan una vida, no lo hacen solos: hay un equipo entero detrás, coordinado al milímetro. En ciberseguridad sanitaria pasa algo parecido. Una estrategia de IAM y PAM bien diseñada es ese equipo invisible que mantiene todo bajo control, incluso cuando la tensión es máxima. 

La clave está en combinar controles técnicos sólidos, procesos claros para gestionar identidades, formación específica y monitorización continua. Primero se aseguran los accesos y cuentas más críticas; luego se amplía la protección de forma ordenada, sin frenar ni un segundo la actividad clínica. 

Así, los hospitales pueden hacer frente a amenazas cada vez más sofisticadas y seguir centrados en lo más importante: que, como en el final de un buen episodio, el paciente salga adelante.