El mayor ciberataque al sector salud: lecciones para la interoperabilidad clínica en Colombia RDA

adminCiberseguridad

La transformación digital del sector salud avanza a gran velocidad. En Colombia, la entrada en vigor de la Resolución 1888 de 2025 del Ministerio de Salud y Protección Social establece el 15 de abril de 2026 como fecha límite para que todos los prestadores registrados en el REPS generen y transmitan el Resumen Digital de Atención (RDA) bajo el estándar HL7 FHIR R4 a la plataforma nacional IHCE. Este avance representa un paso fundamental hacia la interoperabilidad de la Historia Clínica Electrónica. Sin embargo, mientras hospitales, clínicas, EPS y proveedores tecnológicos trabajan para conectar sus sistemas, un caso ocurrido en Estados Unidos sirve como advertencia para toda la industria.

El ciberataque contra UnitedHealth Group y su filial Change Healthcare no solo se convirtió en la mayor brecha de datos médicos conocida hasta la fecha, sino que demostró cómo una falla de seguridad puede desencadenar consecuencias económicas, operativas y reputacionales de escala nacional.

Compilación Jurídica SuperSalud – Resolución 1888 de 2025 MSPS

La interoperabilidad: una necesidad que también amplía la superficie de ataque

La interoperabilidad permite que diferentes organizaciones compartan información clínica de forma segura y estandarizada. Tecnologías como FHIR (Fast Healthcare Interoperability Resources) facilitan el intercambio de datos entre hospitales, laboratorios, aseguradoras, farmacias y aplicaciones de salud.

Los beneficios son evidentes:

  • Mejor continuidad de la atención médica.
  • Reducción de exámenes duplicados.
  • Mayor eficiencia operativa.
  • Acceso oportuno a la información clínica.
  • Mejor experiencia para pacientes y profesionales de la salud.

Sin embargo, a medida que aumenta la conectividad entre sistemas, también crecen los riesgos asociados a la ciberseguridad.

El caso Change Healthcare: cuando una sola brecha afecta a todo un ecosistema

En febrero de 2024, Change Healthcare, una de las plataformas de procesamiento e intercambio de información médica más importantes de Estados Unidos, fue víctima de un ciberataque atribuido al grupo criminal ALPHV/BlackCat.

La compañía desempeñaba un papel crítico dentro del ecosistema sanitario estadounidense, procesando miles de millones de transacciones relacionadas con:

  • Autorizaciones médicas.
  • Reclamaciones de seguros.
  • Facturación.
  • Procesamiento farmacéutico.
  • Intercambio de información clínica.

El ataque provocó interrupciones masivas en hospitales, clínicas, farmacias y aseguradoras de todo el país.

El vector de ataque fue sorprendentemente simple

Lo más llamativo del incidente es que no se trató de una vulnerabilidad sofisticada ni de un ataque basado en inteligencia artificial o un exploit desconocido. Según las investigaciones públicas, los atacantes lograron acceder mediante:

  1. Credenciales comprometidas.
  2. Acceso remoto expuesto a Internet.
  3. Ausencia de autenticación multifactor (MFA).
  4. Debilidades en protocolos basicos de seguridad.

Una vez dentro de la red, los atacantes realizaron movimientos laterales, extrajeron grandes volúmenes de información y finalmente desplegaron ransomware.

Este caso demuestra que, incluso en organizaciones altamente tecnificadas, las medidas básicas de seguridad continúan siendo determinantes.

Pérdidas económicas del ciberataque

Las pérdidas pueden analizarse en varios niveles.

UnitedHealth informó impactos financieros de miles de millones de dólares. Algunas estimaciones públicas reportan:

  • Más de USD 1.600 millones de impacto durante 2024.
  • Aproximadamente USD 3.090 millones entre respuesta al incidente, interrupciones operativas, recuperación tecnológica y compensaciones.

Préstamos de emergencia al sector salud

Debido a que Change Healthcare procesaba pagos y reclamaciones médicas a escala nacional, miles de hospitales y clínicas dejaron de recibir ingresos.

UnitedHealth tuvo que crear un programa de apoyo financiero que entregó aproximadamente:

  • USD 9.000 millones en financiamiento temporal a proveedores afectados.

Impacto operacional

Change Healthcare procesa cerca de:

  • 15 mil millones de transacciones sanitarias al año.
  • Información asociada a aproximadamente uno de cada tres pacientes estadounidenses.

Las consecuencias incluyeron:

  • Suspensión de autorizaciones médicas.
  • Problemas en farmacias.
  • Interrupción de reclamaciones.
  • Retrasos en procedimientos.
  • Riesgos para la atención clínica.

Las estimaciones más recientes indican que más de 190 millones de personas resultaron afectadas, convirtiéndose en la mayor brecha de datos médicos registrada.

¿El problema fue FHIR o la interoperabilidad?

Hasta el momento no existe evidencia pública que indique que el protocolo FHIR haya sido la causa del incidente. El ataque explotó debilidades en:

  • Gestión de identidades.
  • Control de accesos.
  • Autenticación.
  • Monitoreo.
  • Seguridad operacional.

Este punto es especialmente importante para las organizaciones que actualmente están implementando proyectos de interoperabilidad clínica.

La interoperabilidad no genera el riesgo; simplemente amplifica el impacto cuando los controles de seguridad son insuficientes.

¿Qué significa esto para Colombia?

La Resolución 1888 establece un nuevo escenario donde EPS, IPS, laboratorios, operadores tecnológicos y proveedores de software deberán intercambiar información clínica de forma cada vez más frecuente.

Esto implica la exposición de nuevos componentes tecnológicos como:

APIs de interoperabilidad

Las APIs son uno de los objetivos principales para los atacantes, lo cual incluye los siguientes riesgos:

  • Robo de credenciales.
  • Fuerza bruta.
  • Enumeración de pacientes.
  • Accesos indebidos.
  • Exfiltración de información.

Lista de los ataques más frecuentes contra APIs

Basado en OWASP API Security Top 10 y en hallazgos comunes durante auditorías y pruebas de penetración:

  1. BOLA (Broken Object Level Authorization) / IDOR
    • Acceso a registros u objetos de otros usuarios.
  2. Broken Authentication
    • Fallos en autenticación que permiten la suplantación de usuarios.
  3. Broken Function Level Authorization (BFLA)
    • Acceso a funciones administrativas o restringidas sin autorización adecuada.
  4. Excessive Data Exposure
    • La API devuelve más información de la necesaria.
  5. Mass Assignment
    • Modificación de atributos internos o sensibles mediante parámetros no controlados.
  6. SQL Injection
    • Manipulación de consultas SQL ejecutadas por la API.
  7. NoSQL Injection
    • Manipulación de consultas en bases de datos NoSQL.
  8. Command Injection
    • Ejecución de comandos del sistema operativo a través de la API.
  9. LDAP Injection
    • Manipulación de consultas LDAP para evadir controles o extraer información.
  10. XPath Injection
    • Manipulación de consultas XML/XPath.
  11. Server-Side Request Forgery (SSRF)
    • La API realiza solicitudes hacia sistemas internos controladas por el atacante.
  12. Rate Limiting Bypass
    • Evasión de límites de consumo o velocidad de peticiones.
  13. Credential Stuffing
    • Uso automatizado de credenciales filtradas para comprometer cuentas.
  14. Brute Force Authentication
    • Ataques de fuerza bruta contra mecanismos de autenticación.
  15. JWT Attacks
    • Manipulación, falsificación o reutilización de tokens JWT.
  16. API Key Exposure
    • Exposición de claves de acceso en código, aplicaciones o repositorios.
  17. GraphQL Introspection Abuse
    • Descubrimiento de la estructura completa de la API GraphQL.
  18. GraphQL Query Depth Attack
    • Consultas excesivamente profundas para consumir recursos.
  19. GraphQL Batching Attack
    • Envío masivo de consultas en una sola solicitud.
  20. Business Logic Abuse
    • Explotación de errores en la lógica de negocio.
  21. Race Conditions
    • Ejecución simultánea de operaciones para provocar estados inconsistentes.
  22. Denial of Service (DoS)
    • Saturación de recursos mediante solicitudes masivas.
  23. Distributed Denial of Service (DDoS)
    • Saturación distribuida desde múltiples sistemas.
  24. Resource Exhaustion
    • Consumo excesivo de CPU, memoria, almacenamiento o conexiones.
  25. Security Misconfiguration
    • Explotación de configuraciones inseguras de la API.
  26. CORS Misconfiguration
    • Acceso indebido por políticas de origen cruzado mal configuradas.
  27. Sensitive Data Exposure
    • Exposición de datos personales, financieros o confidenciales.
  28. Improper Asset Management
    • APIs antiguas, ocultas o no documentadas accesibles públicamente.
  29. Unrestricted File Upload
    • Carga de archivos maliciosos a través de la API.
  30. Unsafe Consumption of APIs
    • Explotación de integraciones inseguras con APIs de terceros.

Proveedores tecnológicos

Los integradores y operadores tecnológicos se convertirán en objetivos de alto valor, permitiendo ciberataques a la cadena de suministros (supply chain attack). Un incidente en un proveedor puede impactar simultáneamente a cientos de instituciones conectadas.

Ciberataque a EPM por causa de proveedor comprometido

Sistemas heredados

Muchas organizaciones continúan operando plataformas diseñadas antes de la era de la interoperabilidad moderna. En sus sistemas suelen presentar:

  • Falta de segmentación.
  • Autenticación débil.
  • Ausencia de monitoreo avanzado.
  • Versiones de componentes y lenguajes de desarrollo obsoletos.
  • Vulnerabilidades acumuladas.

Lecciones de ciberseguridad para proyectos RDA

Las organizaciones del sector salud deben considerar como prioritarios los siguientes controles:

1. Autenticación multifactor obligatoria

Todo acceso remoto, portal administrativo o API crítica debe utilizar MFA.

2. Arquitectura Zero Trust

No asumir confianza implícita entre sistemas, usuarios o dispositivos. Es importante realizar validaciones constantes.

3. Protección de APIs

Es necesario implementar:

  • API Gateway.
  • Rate Limiting.
  • Validación de tokens.
  • Control granular de permisos.
  • Test de seguridad avanzado tipo OWASP API

4. Monitoreo continuo

Se debe integrar:

  • SIEM.
  • Detección de anomalías.
  • Monitoreo de accesos clínicos.
  • Alertas sobre comportamiento sospechoso.
  • Gestión oportuna de alertas y amenazas

5. Gestión de terceros

Evaluar periódicamente la postura de seguridad, buenas prácticas y protección de datos de:

  • Operadores tecnológicos.
  • Proveedores cloud.
  • Integradores.
  • Empresas de soporte.

6. Resiliencia frente a ransomware

Se recomienda implementar:

  • Backups inmutables.
  • Segmentación de redes.
  • Pruebas de recuperación.
  • Planes de continuidad de negocio.
  • Seguimiento de endpoint y consola de seguridad central
  • Fortalecimiento de políticas de EDR, XDR

Sanciones por incumplimiento de obligaciones del Sistema de Salud

La Resolución 1888 obliga a IPS, EPS y demás actores definidos en la Resolución 866 de 2021 a implementar la interoperabilidad y adecuar sus sistemas dentro de los plazos establecidos.

Si una entidad:

  • No implementa el RDA.
  • No interopera cuando está obligada.
  • Impide el intercambio de información clínica.
  • No cumple los lineamientos técnicos.

podría ser objeto de investigaciones por parte de la Superintendencia Nacional de Salud dentro de sus facultades de inspección, vigilancia y control. Estas facultades pueden derivar en:

  • Multas hasta por 5000 SMLMV.
  • Programas de mejoramiento.
  • Medidas especiales.
  • Intervenciones administrativas en casos graves.
  • Revocatorias o restricciones operativas, dependiendo de la naturaleza de la entidad.

Sanciones por vulneración de datos personales

La historia clínica contiene datos sensibles protegidos por la Ley 1581 de 2012. La propia Resolución 1888 enfatiza la confidencialidad y protección de esta información. Si una implementación deficiente del RDA produce:

  • Fugas de información.
  • Accesos no autorizados.
  • Exposición de datos clínicos.
  • Transferencias indebidas.

la entidad podría enfrentar investigaciones de la Superintendencia de Industria y Comercio.

Las sanciones pueden incluir multas hasta por 2000 SMLMV, órdenes de corrección, suspensión de operaciones relacionadas con el tratamiento de datos e incluso cierre temporal de actividades asociadas al tratamiento de información personal.

La gran enseñanza

El ataque a Change Healthcare deja una conclusión contundente para el sector salud: el mayor incidente de la historia de la salud digital no fue provocado por una vulnerabilidad compleja ni por una falla en los estándares de interoperabilidad.

Fue consecuencia de una combinación de factores que continúan presentes en muchas organizaciones:

  • Credenciales comprometidas.
  • Ausencia de autenticación multifactor.
  • Deficiencias en la gestión de accesos.
  • Alta concentración de servicios críticos.
  • Debilidades de seguridad sin atención.
  • Falta de protocolos y estándares de seguridad.
  • Fallos en la protección de datos clínicos sensibles.

Mientras Colombia avanza hacia la interoperabilidad clínica mediante el RDA, la seguridad debe ser considerada un requisito fundamental del proyecto y no una actividad posterior a la implementación.

La interoperabilidad tiene el potencial de transformar positivamente la atención en salud. Sin embargo, sin una estrategia robusta de ciberseguridad, también puede convertirse en el canal que amplifique el impacto del próximo gran incidente del sector.

¿Su organización está preparada para proteger las APIs, integraciones y plataformas que soportarán el RDA?

La respuesta a esa pregunta podría marcar la diferencia entre una transformación digital exitosa y una crisis de ciberseguridad de gran escala.

Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación web dando clic en el siguiente enlace:

Reciba Diagnostico sin Costo