Llámenos: 93 414 00 66
Arquitectura Zero Trust en hospitales: microsegmentación, IoMT y cómo proteger redes con dispositivos médicos legacy

Arquitectura Zero Trust en hospitales: microsegmentación, IoMT y cómo proteger redes con dispositivos médicos legacy

Informática Médica
· 14 min de lectura

Introducción

Un registro médico tiene un valor en el mercado negro de aproximadamente 250 dólares, según datos de Trustwave, frente a los 5,40 dólares de un número de tarjeta de crédito. Esta diferencia de casi 50 veces explica por qué la sanidad se ha convertido en el sector más atacado por ciberdelincuentes. Y la situación se agrava cuando se analiza el estado real de las redes hospitalarias: según el informe de Claroty/Team82 sobre el estado de la seguridad CPS en sanidad, el 58% de los hospitales operan con sistemas médicos que presentan vulnerabilidades conocidas, y el 89% utilizan dispositivos conectados con sistemas operativos obsoletos, incluyendo Windows 7 y Windows XP, que ya no reciben parches de seguridad.

En este contexto, la arquitectura Zero Trust emerge como el paradigma de seguridad más adecuado para proteger redes hospitalarias. Su principio fundamental, "never trust, always verify" (nunca confiar, siempre verificar), contrasta radicalmente con el modelo perimetral tradicional que asume que todo lo que está dentro de la red es seguro. En un hospital moderno, donde conviven miles de dispositivos IoMT (Internet of Medical Things), sistemas legacy que no pueden actualizarse, estaciones de trabajo clínicas, aplicaciones cloud y usuarios con diferentes niveles de acceso, el concepto de "perímetro" ha perdido todo significado.

Este artículo detalla cómo implementar una arquitectura zero trust en un hospital, con especial atención a la microsegmentación, la protección de dispositivos IoMT y el equilibrio entre seguridad y operatividad clínica.

Por qué el modelo perimetral ha fracasado en sanidad

La superficie de ataque hospitalaria

Un hospital de tamaño medio puede tener conectados a su red entre 10.000 y 100.000 dispositivos, muchos de ellos con características que los hacen especialmente vulnerables:

  • Dispositivos médicos legacy: resonadores magnéticos, TAC, ecógrafos, monitores de constantes vitales y bombas de infusión que ejecutan sistemas operativos obsoletos. Estos equipos tienen ciclos de vida de 10-15 años, muy superiores al ciclo de soporte de los sistemas operativos que utilizan. Sustituirlos por motivos exclusivamente de ciberseguridad es económicamente inviable
  • Dispositivos IoMT: sensores, wearables, dispositivos de monitorización remota y sistemas de localización en tiempo real (RTLS) que se conectan a la red hospitalaria, a menudo con protocolos de seguridad débiles o inexistentes
  • Sistemas de gestión de edificios (BMS): climatización, control de accesos, ascensores y sistemas de gases medicinales que están cada vez más conectados a la red IP
  • Equipos de usuario: estaciones de trabajo compartidas entre múltiples profesionales, tablets de enfermería, dispositivos móviles personales (BYOD)

El modelo perimetral, basado en un firewall que protege el "interior" de la red frente al "exterior", falla porque:

  1. El perímetro es difuso: con telemedicina, acceso remoto, servicios cloud y dispositivos móviles, no existe una frontera clara
  2. El tráfico interno no se inspecciona: una vez dentro de la red, un atacante puede moverse lateralmente sin restricciones (movimiento Este-Oeste)
  3. Los dispositivos legacy no pueden protegerse a sí mismos: no admiten agentes de seguridad, no se pueden actualizar y, a menudo, ni siquiera soportan cifrado

El ransomware como amenaza existencial

El ransomware es la amenaza que más ha acelerado la adopción de Zero Trust en sanidad. Los ataques a hospitales se han multiplicado: paralizan sistemas de información, bloquean el acceso a historias clínicas, inutilizan equipos de diagnóstico y, en los casos más graves, fuerzan la derivación de pacientes a otros centros.

El vector de ataque más común sigue un patrón predecible: compromiso inicial (phishing, credenciales robadas o vulnerabilidad expuesta), escalada de privilegios y movimiento lateral hasta alcanzar los sistemas críticos. Es precisamente el movimiento lateral el que la arquitectura Zero Trust busca eliminar mediante la microsegmentación.

Los cuatro pilares de Zero Trust en entornos sanitarios

Pilar 1: Microsegmentación de la red

La microsegmentación es el control del tráfico Este-Oeste (interno) de la red, creando zonas de seguridad granulares que aíslan dispositivos o grupos de dispositivos entre sí. En un hospital, esto significa que:

  • Una bomba de infusión solo puede comunicarse con su servidor de gestión y con el sistema de prescripción electrónica
  • Un resonador magnético solo puede enviar imágenes al PACS y recibir worklists del RIS
  • Una estación de enfermería solo puede acceder a las aplicaciones clínicas autorizadas para su unidad

Si un dispositivo comprometido intenta comunicarse con un sistema fuera de su política autorizada, el tráfico se bloquea inmediatamente, conteniendo el ataque en el segmento afectado y evitando la propagación.

La implementación de microsegmentación en un hospital requiere un proceso riguroso:

  1. Descubrimiento e inventario: identificar todos los dispositivos conectados a la red, su tipo, sistema operativo, protocolos utilizados y patrones de comunicación legítimos. Herramientas como Elisity con su Asset Intelligence Engine, que cuenta con más de 5.000 millones de dispositivos catalogados, automatizan este proceso
  2. Mapeo de flujos: documentar los flujos de comunicación legítimos de cada dispositivo o grupo de dispositivos. Esta fase es crítica y requiere colaboración entre IT, ingeniería biomédica y los servicios clínicos
  3. Definición de políticas: crear reglas de segmentación que permitan únicamente los flujos legítimos documentados
  4. Implementación gradual: desplegar las políticas primero en modo monitorización (solo alerta, no bloquea) y posteriormente en modo enforcement (bloqueo activo)

Pilar 2: Control de acceso basado en identidad

Zero Trust reemplaza la confianza implícita basada en la ubicación de red por la verificación explícita de la identidad. En un hospital, esto se traduce en:

  • Autenticación multifactor (MFA) obligatoria: para todos los usuarios que acceden a sistemas con datos clínicos. Las soluciones modernas permiten implementar MFA de forma no intrusiva, por ejemplo mediante llaves FIDO2/WebAuthn que el profesional lleva en su identificación, o autenticación biométrica en dispositivos móviles
  • Principio de mínimo privilegio: cada profesional accede únicamente a los datos y sistemas que necesita para su función. Un médico de urgencias no tiene los mismos permisos que un radiólogo o un administrativo de admisiones
  • Gestión de identidades centralizada: plataformas como Microsoft Entra ID con Conditional Access permiten definir políticas de acceso que consideran la identidad del usuario, el dispositivo utilizado, la ubicación, la hora y el nivel de riesgo de la sesión
  • Autenticación passwordless: la eliminación de contraseñas mediante estándares FIDO2/WebAuthn y certificados digitales reduce drásticamente el riesgo de phishing y robo de credenciales

Pilar 3: Verificación continua con monitorización en tiempo real

En una arquitectura Zero Trust, la verificación no ocurre solo en el momento del acceso inicial. Cada sesión, cada transacción y cada flujo de datos se evalúa continuamente:

  • Detección de anomalías mediante IA: sistemas como CrowdStrike Falcon y Microsoft Defender for IoT monitorizan el comportamiento de usuarios y dispositivos, identificando desviaciones respecto a los patrones habituales. Un dispositivo médico que comienza a escanear puertos o un usuario que accede a datos fuera de su horario habitual genera alertas inmediatas
  • Evaluación continua de postura: el nivel de confianza de un dispositivo puede cambiar en tiempo real. Si un equipo presenta una nueva vulnerabilidad o muestra signos de compromiso, su acceso se restringe automáticamente
  • Correlación de eventos: las plataformas SIEM/SOAR agregan eventos de múltiples fuentes (red, endpoints, identidad, aplicaciones) para detectar ataques que, individualmente, parecerían actividad legítima
  • Network Access Control (NAC): soluciones como Cisco ISE verifican la identidad y el estado de cumplimiento de cada dispositivo antes de concederle acceso a la red, utilizando protocolos 802.1X para autenticación a nivel de puerto

Pilar 4: Protección específica de IoMT

Los dispositivos IoMT presentan desafíos únicos que requieren un tratamiento especializado:

  • Imposibilidad de instalar agentes: la mayoría de los dispositivos médicos no permiten la instalación de software de terceros sin invalidar su certificación como dispositivo médico (marcado CE/MDR)
  • Protocolos propietarios: muchos dispositivos utilizan protocolos de comunicación propietarios que las herramientas de seguridad estándar no pueden inspeccionar
  • Sensibilidad a la latencia: dispositivos como monitores de constantes vitales o bombas de infusión realizan funciones críticas en tiempo real. Cualquier medida de seguridad que introduzca latencia es inaceptable desde el punto de vista clínico
  • Ciclos de vida prolongados: equipos con una vida útil de 10-15 años que no pueden actualizarse ni reemplazarse

La estrategia Zero Trust para IoMT se basa en la protección desde la red, no desde el dispositivo: microsegmentación que aísla cada dispositivo en su propia microzona, monitorización pasiva del tráfico sin intervenir en las comunicaciones del dispositivo, y gateways de seguridad que actúan como intermediarios entre el dispositivo legacy y el resto de la red.

Comparativa de soluciones de mercado

Plataformas de microsegmentación

El mercado ofrece múltiples soluciones, cada una con un enfoque diferente:

  • Illumio Core: plataforma líder en microsegmentación basada en software. Su punto fuerte es la visualización de dependencias de aplicaciones, que permite mapear los flujos de comunicación antes de definir políticas. Illumio no requiere cambios en la infraestructura de red, ya que opera a nivel de workload (host-based). Ha publicado guías específicas para entornos sanitarios (Illumio: Zero Trust Segmentation for Healthcare)
  • Elisity: especializada en microsegmentación dinámica para IoT e IoMT. Su Asset Intelligence Engine, con más de 5.000 millones de dispositivos catalogados, permite la identificación automática y clasificación de dispositivos médicos, asignando políticas de segmentación predefinidas según el tipo de dispositivo. Es especialmente relevante para hospitales con gran volumen de IoMT
  • ColorTokens Xshield: plataforma de microsegmentación que combina visibilidad de red con protección de workloads, con capacidades específicas para entornos con sistemas operativos obsoletos
  • VMware NSX: microsegmentación a nivel de datacenter para entornos virtualizados, adecuada para proteger la infraestructura de servidores del hospital pero menos orientada a dispositivos de red

Plataformas Zero Trust integrales

  • Zscaler Zero Trust Exchange: plataforma cloud-native que reemplaza la VPN tradicional por un modelo de acceso directo a aplicaciones basado en identidad. La guía técnica "The Zero Trust Hospital" de Zscaler detalla su aplicación en entornos sanitarios, incluyendo la protección de acceso remoto para telemedicina y el control de tráfico hacia aplicaciones SaaS sanitarias
  • Palo Alto Networks Prisma Access: combina SASE (Secure Access Service Edge) con capacidades de Zero Trust Network Access (ZTNA), proporcionando protección unificada para usuarios dentro y fuera del hospital
  • Microsoft Entra ID + Conditional Access + Defender for IoT: la propuesta de Microsoft integra gestión de identidades con evaluación de riesgo contextual y monitorización de dispositivos IoT/OT, una combinación especialmente relevante para hospitales que ya utilizan el ecosistema Microsoft

Referencia normativa: NIST SP 800-207

El NIST (National Institute of Standards and Technology) publicó la Special Publication 800-207: Zero Trust Architecture, que es el documento de referencia para la implementación de Zero Trust. Establece los componentes lógicos de una arquitectura ZTA y define los modelos de despliegue. La Forrester Wave: Microsegmentation Solutions Q3 2024 proporciona una evaluación comparativa actualizada de las soluciones de mercado.

El desafío del equilibrio: seguridad sin frenar la asistencia

Protocolos break-the-glass

El mayor desafío de implementar Zero Trust en un hospital no es técnico, sino operativo: la seguridad no puede interferir con la atención al paciente. Un médico que atiende una emergencia no puede esperar a que un sistema de verificación le conceda acceso a la historia clínica.

Los protocolos break-the-glass (romper el cristal) son mecanismos de emergencia que permiten a un profesional sanitario acceder a datos o sistemas fuera de sus permisos habituales cuando la situación clínica lo requiere. Estos protocolos:

  • Permiten el acceso inmediato sin esperas ni aprobaciones previas
  • Registran exhaustivamente quién accedió, a qué datos, cuándo y desde dónde
  • Generan alertas para revisión posterior por el responsable de seguridad
  • Requieren justificación que el profesional debe documentar a posteriori

La existencia de estos protocolos es fundamental para la aceptación clínica de la arquitectura Zero Trust. Sin ellos, los profesionales sanitarios percibirán la seguridad como un obstáculo para la atención y buscarán formas de eludirla, lo que es peor que no tener seguridad en absoluto.

Diseño centrado en el flujo clínico

La implementación exitosa de Zero Trust en un hospital requiere diseñar las políticas de seguridad en función de los flujos de trabajo clínicos, no al revés. Esto implica:

  • Sesiones de shadow con profesionales sanitarios para entender sus flujos de trabajo reales, no los documentados
  • Pruebas piloto en unidades no críticas antes de desplegar en áreas como UCI o quirófanos
  • Métricas de impacto clínico: medir no solo la reducción de riesgo de seguridad, sino también el impacto en tiempos de acceso, número de incidencias y satisfacción del profesional
  • Iteración continua: las políticas de Zero Trust no son estáticas. Deben evolucionar con los cambios en los flujos clínicos, la incorporación de nuevos dispositivos y la aparición de nuevas amenazas

Gestión del cambio y formación

La transición a Zero Trust afecta a la totalidad del personal del hospital, no solo al departamento de IT. Es imprescindible:

  • Comunicar el propósito de los cambios en términos que los profesionales sanitarios comprendan, vinculando la seguridad con la protección del paciente
  • Formar a los usuarios en los nuevos procedimientos de autenticación, especialmente en el uso de MFA y los protocolos break-the-glass
  • Establecer un canal de soporte accesible para resolver incidencias durante el periodo de transición
  • Involucrar a los responsables de los servicios clínicos en la definición de las políticas desde el inicio, no como receptores pasivos de decisiones de IT

Hoja de ruta para la implementación

Una implementación realista de Zero Trust en un hospital no se ejecuta en semanas sino en meses o años. Una hoja de ruta típica incluye:

Fase 1 (meses 1-3): Descubrimiento y visibilidad

  • Inventario completo de dispositivos y usuarios
  • Mapeo de flujos de comunicación
  • Evaluación de riesgos por segmento

Fase 2 (meses 3-6): Identidad y acceso

  • Despliegue de MFA para todos los usuarios con acceso a datos clínicos
  • Implementación de principio de mínimo privilegio
  • Definición de protocolos break-the-glass

Fase 3 (meses 6-12): Microsegmentación

  • Segmentación de dispositivos IoMT críticos
  • Aislamiento de sistemas legacy
  • Despliegue en modo monitorización

Fase 4 (meses 12-18): Enforcement y mejora continua

  • Activación de políticas de bloqueo
  • Monitorización continua con detección de anomalías
  • Refinamiento iterativo basado en incidencias y falsos positivos

Conclusión

La arquitectura zero trust en hospitales no es una opción futurista sino una necesidad presente. Con el 58% de los hospitales operando con sistemas médicos vulnerables y el 89% utilizando dispositivos con sistemas operativos obsoletos, el modelo perimetral tradicional es manifiestamente insuficiente para proteger la infraestructura sanitaria.

Los cuatro pilares de Zero Trust, microsegmentación del tráfico Este-Oeste, control de acceso basado en identidad, verificación continua y protección específica de IoMT, proporcionan un marco de seguridad adaptado a la realidad heterogénea de las redes hospitalarias. Soluciones como Illumio, Elisity, Zscaler y la combinación de Microsoft Entra ID con Defender for IoT ofrecen las herramientas técnicas para implementar este paradigma, mientras que los protocolos break-the-glass y el diseño centrado en el flujo clínico garantizan que la seguridad no comprometa la atención al paciente.

La clave del éxito no reside en la tecnología sino en el enfoque: una implementación gradual, basada en la visibilidad completa de la red, con la participación activa de los profesionales sanitarios y una mejora continua que adapte las políticas a la realidad cambiante de un hospital.

En Informática Médica entendemos que la ciberseguridad hospitalaria requiere un equilibrio preciso entre protección y operatividad clínica. Nuestro enfoque combina el conocimiento técnico en seguridad de redes con la comprensión profunda de los flujos de trabajo sanitarios, para que la protección de los datos del paciente nunca sea un obstáculo para su atención.

Referencias

  1. Zscaler: "The Zero Trust Hospital" -- Guía técnica para la implementación de Zero Trust en entornos sanitarios. https://www.zscaler.com
  2. Claroty/Team82: State of CPS Security in Healthcare 2023-2024. Informe sobre el estado de seguridad de sistemas ciberfísicos en sanidad.
  3. Illumio: Zero Trust Segmentation for Healthcare. https://www.illumio.com/solutions/healthcare
  4. NIST SP 800-207: Zero Trust Architecture. National Institute of Standards and Technology, 2020. https://csrc.nist.gov/publications/detail/sp/800-207/final
  5. Trustwave: valor de registros médicos en la dark web ($250/registro). Trustwave Global Security Report.
  6. Forrester Wave: Microsegmentation Solutions Q3 2024. Forrester Research.
  7. Elisity: Identity-Based Microsegmentation for Healthcare IoT. https://www.elisity.com
  8. ColorTokens: Xshield Microsegmentation Platform. https://colortokens.com
  9. Microsoft: Zero Trust Security for Healthcare. Microsoft Defender for IoT documentation. https://learn.microsoft.com
  10. Palo Alto Networks: Prisma Access for Healthcare. https://www.paloaltonetworks.com
  11. Cisco ISE: Identity Services Engine for Healthcare. https://www.cisco.com/c/en/us/products/security/identity-services-engine/
  12. CrowdStrike: Falcon Platform for Healthcare Security. https://www.crowdstrike.com

Utilizamos cookies propias y de terceros para mejorar la web mediante el análisis de la navegación y personalizar el contenido mediante tus preferencias. Para más información puedes consultar nuestra Política de Cookies.

Puedes aceptar todas las cookies mediante el botón “Aceptar todas”.

Puedes configurar o rechazar su uso pulsando en “Configuración de cookies”.

Cookies técnicas esenciales:
Son necesarias para gestionar la navegación dentro de la web o para mantener al usuario conectado. No se pueden desactivar porque afectaría al funcionamiento de la web.