Razones por las cuales el 95% de los ataques de phishing en el sector salud no son reportados.

A pesar de contar con capacitación regular y aumentar la conciencia sobre la seguridad, el 95% de los ataques de phishing en el sector salud aún no son reportados por el personal. Muchos evitan hacerlo por miedo a ser culpados si hicieron clic en un enlace incorrecto. Otros piensan que los equipos de IT están demasiado ocupados para responder. Además, el personal a menudo pasa por alto las señales de los correos electrónicos de phishing en medio de la avalancha diaria de mensajes, especialmente cuando utilizan sistemas obsoletos que complican el reporte. Esta situación no solo representa una falla operativa, sino un claro vacío en la estrategia de ciberseguridad.

En el ámbito de la salud, donde la confianza y la privacidad son fundamentales, este nivel de inacción es preocupante. Datos de la industria revelan que el 60% de las organizaciones de salud sufrieron violaciones relacionadas con correos electrónicos el año pasado, y tres cuartas partes esperan que estas brechas continúen en el futuro. El phishing sigue siendo la puerta de entrada más utilizada por los atacantes, y detectar estos intentos es cada vez más complicado debido a la personalización que ofrecen los contenidos generados por IA.

El desencuentro entre la capacitación y la presentación real de informes pone de manifiesto un problema sistémico: las organizaciones confían en exceso en la conciencia. A pesar de la capacitación regular y los requisitos de cumplimiento, solo el 5% de los ataques de phishing conocidos son reportados. Esto plantea la cuestión de por qué la formación no se traduce en cambios de comportamiento.

A menudo se asume que la solución radica en más capacitación y simulacros, lo que no aborda el verdadero problema. Los líderes de seguridad deben reconocer que el miedo y la confusión son los principales obstáculos para la presentación de informes de phishing. El personal teme las repercusiones si informa demasiado tarde o de manera incorrecta y se enfrenta a pasos de reporte complicados. Además, están presionados para responder rápidamente y continuar con su trabajo.

La solución comienza con el liderazgo. La seguridad del correo electrónico eficaz requiere más que solo políticas; necesita un respaldo claro desde la alta dirección, un cambio deliberado en la cultura organizacional y una infraestructura moderna que facilite el comportamiento seguro. Esto incluye crear opciones de reporte simples en los sistemas que usan a diario y comunicar claramente al personal que informar correos sospechosos es preferible a permanecer en silencio, incluso si el informe resulta incorrecto.

Al mismo tiempo, las organizaciones de salud deben evaluar críticamente la tecnología que respalda su infraestructura de correo. Muchas aún se basan en sistemas heredados que fueron diseñados para la comunicación interna y no para las amenazas actuales, lo que a menudo resulta en la falta de características proactivas como la detección de amenazas en tiempo real.

La capacitación es solo una parte de la solución; debe combinarse con salvaguardias que disminuyan la dependencia del comportamiento humano perfecto. Esto incluye tecnologías que actúan antes de que el personal interactúe con una amenaza, filtrando automáticamente mensajes maliciosos y señalando anomalías en tiempo real. Cuando la seguridad del correo electrónico opera en segundo plano, se reduce la carga sobre el personal y se fortalece la postura general de seguridad.

Los líderes de salud pueden aprovechar herramientas de seguridad modernas que detectan anomalías antes de que el ser humano las vea y afectan la carga de trabajo de los equipos de IT. Es vital repensar la experiencia de reporte desde la perspectiva del personal: debe ser rápida y obvia. Si no lo es, hay que corregirlo. Es fundamental simplificar el proceso de reporte y eliminar cualquier excusa para no informar.

Es igualmente necesario reevaluar los sistemas existentes, asegurándose de que brinden la visión y automatización necesarias para reducir el error humano. Las organizaciones no deben simplemente añadir tecnologías a sistemas obsoletos, sino transformar su postura de seguridad con soluciones que anticipen amenazas.

Finalmente, es crucial considerar el phishing no solo como un problema de capacitación aislado, sino como una vulnerabilidad organizacional continua. Se debe normalizar la conversación sobre el reporte, celebrar los aciertos, repasar los errores cercanos y recordar que la seguridad es un esfuerzo en equipo. El objetivo es avanzar; cada informe da a los equipos de seguridad una oportunidad para detener una brecha antes de que se propague.

Los ataques de phishing, aunque serios, son manejables con el enfoque adecuado en personas, procesos y plataformas. Una estrategia proactiva basada en tecnología más inteligente y una cultura de seguridad más sólida puede cambiar esta dinámica. Es esencial reconocer y recompensar los reportes y tratar el silencio como un tema que necesita atención. La seguridad del correo electrónico debe ser la base de cada estrategia de ciberseguridad en el sector salud. El futuro de la seguridad del correo electrónico en la atención médica depende de un cambio simple pero significativo: tratar la bandeja de entrada no como un pasivo a gestionar, sino como una primera línea de defensa que debe fortalecer.