Ciberseguridad para Hospitales y Sanidad

Tres razones estructurales: (1) disponibilidad crítica — un hospital parado es un riesgo de vida, lo que presiona al pago del rescate; (2) datos de altísimo valor — las historias clínicas electrónicas (HCE) se venden por 10 veces más que una tarjeta bancaria en foros criminales; (3) superficie de ataque enorme — entre dispositivos médicos IoT (bombas de infusión, monitores, equipos de imagen), sistemas PACS/RIS, HIS, portátiles del personal y WiFi para pacientes, un hospital típico tiene cientos de endpoints con distinta capacidad de parcheo. En 2024, el 74% de las organizaciones sanitarias españolas reportaron al menos un incidente de seguridad.

La estrategia es segmentación estricta + detección pasiva. Los dispositivos médicos (bombas de infusión, monitores, equipos de imagen) se colocan en una VLAN aislada con el FortiGate controlando todo el tráfico entrante y saliente. Fortinet FortiGuard identifica el dispositivo por fingerprinting (OT Device Identification) y aplica políticas específicas: solo permite las conexiones necesarias al servidor de gestión del fabricante y bloquea el resto. Si un dispositivo intenta comunicarse con un C2 conocido (señal de compromiso), el firewall lo bloquea y alerta. Esta aproximación no requiere instalar nada en el dispositivo médico.

FortiGate + la familia Security Fabric de Fortinet cubre la mayoría de los requisitos ENS de nivel ALTO aplicables al sector sanitario: op.acc (control de acceso) con FortiAuthenticator + MFA, mp.com (protección de las comunicaciones) con cifrado IPsec/SSL, mp.if (protección de la información) con inspección DLP, op.ext (recursos externos) con ZTNA, op.mon (monitorización) con FortiAnalyzer y FortiSIEM. No cubre al 100% porque ENS tiene medidas organizativas que no son técnicas (políticas, formación, procedimientos), pero técnicamente da base sólida para certificación.

El RGPD no exige un firewall en particular, pero sí "medidas técnicas apropiadas al riesgo" (Art. 32). Para datos de salud, que son categoría especial (Art. 9), el listón es máximo. La AEPD en sus guías sanitarias menciona específicamente: cifrado en tránsito y reposo, control de accesos registrado, detección de anomalías, backups offline y capacidad de restauración. FortiGate cubre cifrado, acceso, detección y logging; FortiAnalyzer cubre los registros auditables; la protección contra ransomware (FortiEDR + FortiSandbox) cubre la parte de continuidad de negocio. Una brecha de HCE puede costar hasta 20M€ o el 4% de facturación.

Creamos dos SSID diferentes en los FortiAP: "Hospital-Staff" (personal) y "Hospital-Guest" (pacientes y visitantes). El tráfico del SSID de invitados se tunel iza directamente al FortiGate y sale a Internet sin nunca tocar la red clínica. Además, se aplican restricciones: portal cautivo con términos de uso (RGPD), filtrado web para bloquear contenido malicioso, rate limiting y aislamiento entre clientes del mismo SSID (evitar que un paciente ataque a otro). Todo esto se configura una vez y se replica en todos los APs del hospital automáticamente desde FortiManager.

Depende de la arquitectura, pero como orientación general para un hospital pequeño de ~100 camas con 300-400 dispositivos conectados: un par de FortiGate 200F en alta disponibilidad (HA) como firewall perimetral, con bundle ATP de 3 años. A esto se suman FortiAP para el WiFi médico + invitados (normalmente 15-30 unidades para cobertura completa), FortiSwitch para la red cableada con segmentación VLAN, y FortiAnalyzer para la trazabilidad exigida por ENS y RGPD. Para hospitales medianos o grandes escalamos a 400F o 600F.

Sí, es imprescindible y es gratis. Antes de dimensionar nada, hacemos una auditoría de 1-2 días que incluye: inventario de dispositivos conectados, mapeo de la red actual, revisión de políticas y logs del firewall existente, identificación de gaps respecto a ENS y RGPD, y un informe con recomendaciones priorizadas por riesgo. Sólo después proponemos la arquitectura FortiGate adecuada. La auditoría no compromete compra; si al final eliges otra solución, el informe es tuyo.