logo software medico
Agendar una demo

Ciberseguridad en Software Médico Colombia: Guía Completa para Proteger su Clínica en 2026

diciembre 6, 2025

Software Médico

ciberseguridad

La ciberseguridad del software médico en Colombia es en 2026 una obligación normativa y operativa simultánea. La Resolución 1888 de 2025 exige cifrado TLS 1.3 y AES-256 en todas las transmisiones del RDA a la plataforma IHCE. La Ley 1581 de 2012 impone responsabilidad legal por la protección de datos sensibles de salud. Y el sector salud es globalmente el segundo sector más atacado por ransomware, con costos promedio por incidente que superan los 10 millones de dólares.

Introducción: El sector salud colombiano en la mira del cibercrimen global

Cuando una clínica colombiana activa su integración con la plataforma IHCE del Ministerio de Salud, transmite el RDA por Internet, conecta su HIS a la red corporativa y habilita el acceso remoto del personal administrativo a los sistemas de facturación, no solo está cumpliendo normativa: está abriendo superficies de ataque que actores maliciosos de todo el mundo escanean sistemáticamente en busca de vulnerabilidades.

El sector salud es el segundo más atacado por ransomware a nivel global, según los informes anuales del Centro de Ciberseguridad de la Unión Europea (ENISA) y el análisis de IBM Security. La razón es estructural: los datos clínicos son los más valiosos en el mercado negro de la información —una historia clínica completa vale entre 10 y 40 veces más que un número de tarjeta de crédito— y los hospitales y clínicas tienen históricamente menor inversión en ciberseguridad que el sector financiero o el sector gobierno.

En Colombia, la digitalización acelerada del sector salud entre 2023 y 2026 amplió significativamente la superficie de ataque disponible. Cada IPS que se integra a la IHCE, cada profesional independiente que transmite RDA desde su consultorio, y cada gestor farmacéutico que conecta su sistema al ecosistema IHCE para la prescripción UPC (Circular 0019 de 2026) agrega un punto de exposición potencial al ecosistema.

La implementación en entornos reales demuestra que la ciberseguridad en salud no es un problema de TI: es un problema de continuidad asistencial, responsabilidad legal y confianza del paciente.

¿Cuál es el marco normativo de ciberseguridad aplicable al sector salud colombiano?

Ley 1581 de 2012 — Protección de Datos Personales Es la norma de referencia primaria. Los datos de salud son calificados explícitamente como datos sensibles, categoría que requiere medidas de seguridad reforzadas. El responsable del tratamiento (la IPS, el profesional, la EPS) debe implementar las medidas técnicas, humanas y administrativas necesarias para garantizar la seguridad de los datos personales. El incumplimiento puede acarrear multas de hasta 2.000 SMLMV y suspensión de actividades.

Decreto 1074 de 2015 (Decreto Único Reglamentario del Sector Comercio) Reglamenta la Ley 1581 y establece obligaciones específicas sobre políticas de tratamiento de datos, registro de bases de datos ante la Superintendencia de Industria y Comercio (SIC) y mecanismos de atención de derechos de los titulares.

Resolución 1888 de 2025 — IHCE y RDA Impone requisitos técnicos específicos de seguridad para las transmisiones a la plataforma nacional:

  • Cifrado TLS 1.3 (o superior) en todas las transmisiones
  • Cifrado AES-256 para datos en reposo
  • Control de acceso basado en roles (RBAC) en todos los sistemas que interactúan con el RDA
  • Registro completo de auditoría de accesos con fecha, hora, usuario y rol

Ley 1273 de 2009 — Delitos Informáticos Tipifica como delitos penales el acceso abusivo a sistemas informáticos, la interceptación de datos, el daño informático, el uso de software malicioso y la violación de datos personales. Los directivos de una IPS que no implementen medidas de seguridad adecuadas pueden incurrir en responsabilidad penal si un ataque resulta en daño a terceros por negligencia demostrable.

CONPES 3995 de 2020 — Política Nacional de Confianza y Seguridad Digital Marco de política pública nacional de ciberseguridad. Define los lineamientos para la gestión de riesgos de seguridad digital en todas las entidades, incluyendo las del sector salud.

¿Cuáles son las principales amenazas cibernéticas para una IPS en Colombia?

Ransomware: la amenaza de mayor impacto operacional

El ransomware es el ataque más devastador para una institución de salud. El malware cifra todos los archivos del sistema —incluyendo la historia clínica electrónica, los datos del HIS y los registros de facturación— y exige un pago en criptomonedas para liberar la información.

El análisis de incidentes de ransomware en hospitales latinoamericanos revela el patrón típico:

  1. El atacante accede al sistema mediante un correo de phishing que un empleado abre inadvertidamente
  2. El malware se propaga silenciosamente por la red durante días o semanas antes de activarse
  3. En un momento coordinado, cifra simultáneamente todos los sistemas conectados
  4. El hospital queda operativamente paralizado: sin historia clínica, sin sistema de turnos, sin facturación
  5. La recuperación sin pago del rescate requiere restaurar desde backups, un proceso que puede tomar días o semanas

El costo de un incidente de ransomware en salud incluye: el posible rescate (que los expertos en ciberseguridad recomiendan no pagar), el costo de recuperación de sistemas, la pérdida de ingresos por interrupción operacional, las multas regulatorias por violación de datos, y el daño reputacional.

Phishing clínico y compromisos de credenciales

El phishing es el vector de entrada más frecuente. Los empleados del sector salud reciben correos que imitan comunicaciones del Ministerio de Salud, el SISPRO, la Superintendencia o proveedores de software, con enlaces que llevan a páginas falsas que roban credenciales.

Con la implementación de la IHCE, las credenciales del sistema Hércules (ClientID y ClientSecret) se convierten en un objetivo de alto valor. Un atacante con esas credenciales puede autenticarse en el API Gateway del Ministerio y acceder o manipular el flujo de RDA de la institución.

Acceso no autorizado a la historia clínica electrónica

Los datos clínicos tienen valor en el mercado negro, pero también tienen valor para actores con motivaciones específicas: seguros privados, empleadores, actores políticos o individuos con interés en la información de un paciente particular.

Una IPS sin RBAC implementado correctamente puede tener empleados con acceso a registros clínicos de pacientes con los que no tienen relación asistencial activa, lo que viola directamente el artículo 6 de la Resolución 1888 y la Ley 1581.

Ataques a dispositivos médicos conectados (IoMT)

Los equipos de diagnóstico modernos —tomógrafos, ecógrafos, monitores de UCI, bombas de infusión inteligentes— están conectados a la red hospitalaria. Muchos operan con sistemas operativos desactualizados sin soporte del fabricante, y representan puntos de entrada vulnerables que la segmentación de red puede mitigar.

Vulnerabilidades en el software de facturación y RIPS

Los sistemas de facturación conectados al MUV del Ministerio para el envío del RIPS JSON procesan datos financieros sensibles y tienen acceso a las credenciales de autenticación con las plataformas del Ministerio. Un software de facturación con vulnerabilidades no parcheadas puede ser el punto de entrada de un atacante interesado en los datos de la institución.

Tabla comparativa: Amenazas cibernéticas en salud, impacto y controles de mitigación

AmenazaProbabilidadImpacto operacionalImpacto normativoControl principalCosto de implementación
RansomwareAltaCrítico: paralización totalMuy alto: violación Ley 1581 + Ley 1273Backup 3-2-1, EDR, segmentación de redMedio-alto
Phishing / robo de credencialesMuy altaAlto: acceso no autorizado a sistemasAlto: compromiso de credenciales IHCEMFA, capacitación, filtros de correoBajo-medio
Acceso no autorizado HCEMediaMedio: exposición de datos clínicosAlto: violación Ley 1581 + Res. 1888RBAC, logs de auditoría, revisión periódica de accesosBajo
Ataque a dispositivos IoMTMediaAlto: riesgo asistencial directoMedio: responsabilidad por daño al pacienteSegmentación de red (VLAN), inventario de activosMedio
Vulnerabilidad en software HISMediaAlto: acceso a toda la base de datos clínicaAlto: exposición masiva de datos sensiblesGestión de parches, pruebas de penetraciónMedio
Denegación de servicio (DDoS)Baja-mediaMedio: interrupción de transmisiones RDAMedio: incumplimiento de plazos normativosCDN, rate limiting, ISP redundanteBajo-medio
Ingeniería social internaMediaAlto: actor con acceso privilegiadoAlto: violación Ley 1581 internaControl de acceso privilegiado (PAM), revisión periódicaBajo

¿Cuáles son los controles de seguridad obligatorios bajo la normativa colombiana vigente?

Control 1 — Cifrado en tránsito: TLS 1.3

Toda comunicación entre el HIS de la IPS y el API Gateway de la IHCE debe usar TLS 1.3 como mínimo. TLS 1.2 y versiones anteriores son insuficientes según los requisitos de la norma. La configuración del servidor web y el cliente HTTPS del HIS deben validarse explícitamente para garantizar que no negocian versiones inferiores.

Control 2 — Cifrado en reposo: AES-256

Los datos clínicos almacenados en los servidores de la plataforma IHCE (responsabilidad del Ministerio) usan AES-256. Las IPS deben aplicar un estándar equivalente para sus propias bases de datos de historia clínica y RIPS. Una base de datos sin cifrado en reposo es una violación de la Ley 1581 cuando contiene datos sensibles de salud.

Control 3 — Control de acceso basado en roles (RBAC)

El sistema de información de la IPS debe implementar roles diferenciados que garanticen que:

  • El médico solo accede a las historias clínicas de sus pacientes activos
  • El personal de facturación accede a los datos financieros pero no a las notas clínicas completas
  • El personal de TI tiene acceso técnico al sistema pero no a los datos clínicos en texto plano
  • El Visor RDA solo está disponible para profesionales con relación asistencial activa

Control 4 — Logs de auditoría completos

Cada acceso al RDA, cada consulta al Visor IHCE y cada transmisión de Bundle FHIR debe quedar registrada con: fecha y hora exacta, usuario autenticado, rol, dirección IP de origen y tipo de operación (lectura, escritura, transmisión). Estos logs deben conservarse por un período mínimo definido por la política institucional y estar disponibles para auditoría del Ministerio o la Superintendencia.

Control 5 — Gestión segura de credenciales IHCE El ClientID y ClientSecret obtenidos en Hércules son el equivalente digital a las llaves de la institución. Su gestión debe cumplir:

  • Almacenamiento en un gestor de secretos o vault de credenciales, nunca en texto plano
  • Rotación periódica según el cronograma del Ministerio
  • Revocación inmediata ante sospecha de compromiso
  • Registro de quién tiene acceso a las credenciales y cuándo fueron usadas

¿Cómo implementar una estrategia de backup que garantice la continuidad ante un ataque?

El backup es el único control que garantiza la recuperación después de un ataque de ransomware sin necesidad de pagar el rescate. La estrategia recomendada internacionalmente es la regla 3-2-1:

  • 3 copias de los datos: la original y dos backups
  • 2 medios diferentes: por ejemplo, disco local y almacenamiento en nube
  • 1 copia fuera de línea (offline): desconectada de la red y del sistema principal, imposible de cifrar por ransomware

Para una IPS colombiana, la implementación práctica implica:

  1. Backup diario automatizado de la base de datos del HIS, los logs del sistema y los archivos de configuración del módulo FHIR
  2. Backup semanal en almacenamiento cloud con cifrado AES-256 en reposo y acceso restringido por MFA
  3. Backup mensual offline en disco externo desconectado, almacenado físicamente fuera de las instalaciones de la institución
  4. Prueba de restauración trimestral: no es suficiente hacer backups; la institución debe probar que puede restaurar los sistemas desde el backup en un tiempo aceptable para la continuidad asistencial

El análisis técnico demuestra que las instituciones que no prueban sus backups descubren en el peor momento posible —durante un incidente activo— que el backup estaba incompleto, corrupto o que el proceso de restauración tarda el triple de lo esperado.

¿Qué medidas de seguridad debe exigir una IPS a su proveedor de HIS?

El proveedor del HIS es el custodio de los datos clínicos más críticos de la institución. La implementación en entornos reales requiere que los contratos con proveedores incluyan cláusulas de seguridad específicas y verificables:

Cláusulas contractuales obligatorias:

  • Parches de seguridad: el proveedor debe liberar parches para vulnerabilidades críticas en un máximo de 30 días tras su publicación. Vulnerabilidades conocidas sin parche son un riesgo legal para la IPS.
  • Pruebas de penetración anuales: el proveedor debe realizar y documentar pruebas de penetración sobre su software al menos una vez al año, con reporte de hallazgos disponible para la IPS.
  • Cifrado de la base de datos: el HIS debe cifrar la base de datos con AES-256 o equivalente, no solo los datos en tránsito.
  • Gestión de incidentes: el proveedor debe notificar a la IPS dentro de las 72 horas de detectar cualquier incidente que afecte los datos de la institución (requisito Ley 1581).
  • Plan de continuidad: el proveedor debe tener un plan documentado de continuidad de negocio y recuperación ante desastres para garantizar la disponibilidad del HIS en caso de incidente en su propia infraestructura.
  • Subcontratistas: si el proveedor utiliza servicios cloud de terceros (AWS, Azure, Google Cloud), debe garantizar que esos subcontratistas cumplen los mismos estándares de seguridad.

¿Cómo proteger las transmisiones RIPS JSON y RDA contra interceptación?

Las transmisiones del RIPS JSON al MUV del Ministerio y del Bundle FHIR al Gestor RDA de la IHCE son comunicaciones HTTPS sobre Internet pública. Aunque el cifrado TLS 1.3 protege el contenido de la transmisión contra interceptación en tránsito, existen vectores de ataque adicionales que la IPS debe mitigar:

Ataques de hombre en el medio (MitM) Un atacante posicionado entre el HIS y el API Gateway del Ministerio podría intentar interceptar las comunicaciones si el cliente HTTP del HIS no valida correctamente el certificado SSL del servidor. El HIS debe implementar certificate pinning o verificación estricta de la cadena de certificados del Ministerio.

Compromiso del token de autenticación El token temporal generado por el API Gateway de Hércules es la llave de acceso a la plataforma IHCE. Si ese token es interceptado o filtrado, un atacante puede usarlo hasta su expiración. Mitigaciones: tiempo de vida corto del token (recomendado menos de 15 minutos), transmisión exclusivamente por HTTPS, nunca almacenamiento en logs en texto plano.

Inyección de Bundles FHIR maliciosos Si el sistema de generación de RDA no valida correctamente los inputs del HIS antes de construir el Bundle, un actor interno con acceso al sistema podría inyectar recursos FHIR maliciosos que alteren registros clínicos. Mitigación: validación de entradas en el módulo generador de RDA, firma digital de los Bundles antes de transmisión.

¿Qué hacer cuando su IPS sufre un ciberataque? Protocolo de respuesta a incidentes

Toda IPS debe tener un Plan de Respuesta a Incidentes (PRI) documentado y practicado antes de que ocurra un incidente. Improvisar durante un ataque activo garantiza decisiones subóptimas bajo presión máxima.

El protocolo de respuesta a incidentes para una IPS colombiana debe contemplar:

Fase 1 — Detección y contención (primeras 4 horas)

  1. El sistema de monitoreo detecta el incidente o un usuario lo reporta
  2. El equipo de TI aísla inmediatamente los sistemas afectados de la red (desconexión de Ethernet y WiFi)
  3. Se preservan los logs del sistema antes de cualquier intervención que pueda sobreescribirlos
  4. Se activa el Plan de Continuidad: operación manual de emergencia (historia clínica en papel provisional, facturación offline)

Fase 2 — Evaluación y notificación (primeras 24 horas) 5. Se determina el alcance del incidente: qué sistemas fueron afectados, qué datos estuvieron expuestos 6. Se notifica al representante legal de la institución y al área jurídica 7. Si datos personales de pacientes estuvieron expuestos: notificación a la Superintendencia de Industria y Comercio (SIC) dentro de las 72 horas (Ley 1581, artículo 17) 8. Si el incidente afecta la capacidad de transmitir RDA o RIPS: notificación al Ministerio de Salud a través de los canales IHCE

Fase 3 — Recuperación (días 2-30) 9. Restauración desde el último backup limpio verificado 10. Análisis forense para identificar el vector de entrada y cerrar la vulnerabilidad 11. Implementación de controles adicionales para prevenir reincidencia 12. Prueba completa de todos los sistemas antes de reconectar a la red

Fase 4 — Lecciones aprendidas (posterior a la recuperación) 13. Documentación completa del incidente, su gestión y las lecciones aprendidas 14. Actualización del Plan de Respuesta a Incidentes con base en lo ocurrido 15. Capacitación adicional del personal en los vectores que permitieron el ataque

¿Cómo capacitar al personal clínico y administrativo en ciberseguridad?

Las métricas empíricas de incidentes de seguridad en salud demuestran consistentemente que el factor humano es el vector de entrada en más del 80% de los casos. El firewall más sofisticado no protege contra un empleado que abre un archivo adjunto malicioso.

El programa de capacitación en ciberseguridad para una IPS debe contemplar:

Todo el personal:

  • Identificación de correos de phishing: cómo reconocer dominios falsos, urgencia artificial, solicitudes inusuales de credenciales
  • Política de contraseñas: contraseñas de mínimo 12 caracteres, únicas por sistema, gestión mediante un gestor de contraseñas
  • Uso seguro de dispositivos móviles: política de BYOD, cifrado de dispositivos, no acceso a sistemas clínicos desde redes WiFi públicas sin VPN
  • Reporte inmediato de incidentes: cultura de reporte sin penalización para quien detecte y comunique un incidente temprano

Para personal de TI:

  • Gestión de credenciales privilegiadas con herramientas PAM (Privileged Access Management)
  • Monitoreo de logs de auditoría del HIS y de las transmisiones IHCE
  • Proceso de aplicación de parches de seguridad con ventanas de mantenimiento documentadas
  • Simulacros de respuesta a incidentes: al menos uno al año

Para directivos y gerentes:

  • Marco legal de responsabilidad: Ley 1273 (delitos informáticos), Ley 1581 (datos personales), Resolución 1888 (requisitos IHCE)
  • Toma de decisiones durante un incidente: cuándo notificar a autoridades, cuándo activar el plan de continuidad, cómo comunicar a los pacientes

Conclusión: Plan de ciberseguridad en 60 días para proteger su clínica

La ciberseguridad del software médico en Colombia en 2026 no es un proyecto de TI diferible: es una condición de operación legal, normativa y asistencial. Las IPS que no han implementado los controles básicos operan con riesgo legal activo bajo la Ley 1581, la Ley 1273 y la Resolución 1888.

Los próximos pasos en 60 días para cualquier IPS:

Semana 1-2 — Inventario y evaluación de riesgo Catalogar todos los activos digitales: HIS, servidores, dispositivos médicos conectados, puntos de acceso WiFi, credenciales IHCE. Identificar cuáles no tienen parches actualizados, cuáles usan TLS inferior a 1.3 y cuáles no tienen RBAC configurado.

Semana 3-4 — Controles técnicos críticos Implementar MFA en todos los sistemas de acceso remoto y en las credenciales Hércules. Verificar que el HIS usa TLS 1.3 para transmisiones IHCE. Auditar el RBAC del sistema y revocar accesos que no correspondan al rol actual del usuario.

Semana 5-6 — Backup y continuidad Implementar la estrategia 3-2-1 de backups. Ejecutar una prueba de restauración completa y documentar el tiempo de recuperación. Elaborar el protocolo de operación manual de emergencia ante un eventual bloqueo del HIS.

Semana 7-8 — Capacitación y plan de respuesta Capacitar a todo el personal en identificación de phishing y reporte de incidentes. Elaborar y aprobar el Plan de Respuesta a Incidentes con responsables definidos, tiempos de acción y protocolos de notificación a SIC y Ministerio.

Mes 3 — Monitoreo continuo Implementar un sistema de monitoreo de logs de auditoría con alertas automáticas para accesos fuera de horario, intentos fallidos de autenticación y volúmenes inusuales de transmisiones IHCE. Establecer una revisión mensual del estado de los controles de seguridad.

Referencias Oficiales

  1. Ley 1581 de 2012 — Congreso de Colombia. Protección de datos personales, incluyendo datos sensibles de salud. Obligaciones del responsable del tratamiento. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981
  2. Ley 1273 de 2009 — Congreso de Colombia. Delitos informáticos: acceso abusivo, daño informático, uso de software malicioso, violación de datos personales. https://www.sic.gov.co/sites/default/files/documentos/ley_1273_de_2009.pdf
  3. Resolución 1888 de 2025 — Ministerio de Salud. Requisitos técnicos de seguridad para transmisiones IHCE: TLS 1.3, AES-256, RBAC, logs de auditoría. https://www.minsalud.gov.co/Normatividad_Nuevo/Resolucion%20No%201888%20de%202025.pdf
  4. CONPES 3995 de 2020 — DNP Colombia. Política Nacional de Confianza y Seguridad Digital. https://colaboracion.dnp.gov.co/CDT/Conpes/Econ%C3%B3micos/3995.pdf
  5. Superintendencia de Industria y Comercio — Guía para la implementación del principio de seguridad en el tratamiento de datos personales. https://www.sic.gov.co/proteccion-de-datos-personales
  6. Decreto 1074 de 2015 — Ministerio de Comercio, Industria y Turismo. Reglamentación de la Ley 1581: registro de bases de datos, políticas de tratamiento. https://www.mincit.gov.co/normatividad/decretos/2015/decreto-1074-26-05-2015.aspx
  7. Manual de Operaciones IHCE — Ministerio de Salud. Especificaciones de seguridad: autenticación, cifrado y control de acceso en la plataforma IHCE. https://www.minsalud.gov.co/ihce/Manuales/Manual_de_operaciones_Historia_Clinica_Interoperable_IHCE_V1.pdf
  8. OPS — Ciberseguridad en el sector salud — Organización Panamericana de la Salud. Lineamientos de seguridad de la información para sistemas de salud en las Américas. https://www.paho.org/es/temas/salud-digital
  9. Sistema Hércules — Ministerio de Salud. Gestión de credenciales IHCE: ClientID, ClientSecret y acceso seguro a la plataforma. https://hercules.sispro.gov.co
  10. Micrositio IHCE — Ministerio de Salud. Lineamientos técnicos de seguridad para la integración de prestadores a la IHCE. https://www.minsalud.gov.co/ihce/Paginas/default.aspx