Salud-ISAC Hackeando la sanidad 4-14-2026

Esta semana, Salud-ISAC^®'s Hackeando la atención sanitaria^® Este documento examina el presupuesto presidencial recientemente publicado y los documentos justificativos del Congreso que lo acompañan, elaborados por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) y el Departamento de Salud y Servicios Humanos (HHS). Explicamos el contenido de estos documentos, analizamos los aspectos relevantes de ciberseguridad del sector salud que presentan y, finalmente, proporcionamos el contexto necesario para interpretarlos correctamente.

Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).

Versión PDF:

Versión de texto:

Bienvenidos nuevamente a Hacking Healthcare^® !

Qué podría significar para la ciberseguridad del sector salud la solicitud de presupuesto federal para el año fiscal 2027 de la administración Trump.

La semana pasada, la administración Trump publicó el presupuesto del presidente para el año fiscal 2027 (AF27), y los departamentos y agencias federales publicaron sus justificaciones presupuestarias correspondientes ante el Congreso. Si bien estos documentos no son jurídicamente vinculantes ni establecen el presupuesto federal, desempeñan un papel fundamental en el proceso de asignación de fondos y reflejan las prioridades e intenciones políticas de la administración Trump.

¿Cuál es el presupuesto del presidente?

Por lo general, el presupuesto del presidente es un documento que se entrega al Congreso a principios de año y que ofrece una visión general de los objetivos políticos del presidente, una selección de programas que se priorizarán para alcanzar dichos objetivos y el presupuesto que la administración ha determinado que se necesita para cumplirlos. Trump presentó su nuevo presupuesto de 92 páginas para el año fiscal 27 el 3 de abril.

¿Qué son las justificaciones presupuestarias del Congreso?

Las justificaciones presupuestarias del Congreso son documentos elaborados por los departamentos y agencias federales que respaldan o justifican la solicitud presupuestaria del Presidente para su organización. Estos documentos detallan la cantidad de dinero que la organización solicita, en qué planea gastarlo, la importancia de dichas actividades y los resultados que espera obtener. El Congreso utiliza este documento para revisar y cuestionar la solicitud, compararla con gastos anteriores y decidir si aprueba o modifica la financiación.

¿Qué dice el presupuesto presidencial para el año fiscal 27?

Russel Vought, director de la Oficina de Administración y Presupuesto (OMB), redactó la introducción del presupuesto del presidente, que se presenta como un mensaje al Congreso. En ella se señala que «el presupuesto de 2027 se basa en la visión del presidente al continuar limitando el gasto no relacionado con la defensa y reformando el gobierno federal».^[i]. A continuación, afirma que "el presupuesto propone un recorte del 10 por ciento en comparación con los niveles de 2026 en partidas no relacionadas con la defensa", antes de destacar la importancia que el presupuesto otorga a las cuestiones de seguridad nacional.

Tras la introducción, se presentan desgloses generales de los departamentos y agencias. Los dos más relevantes para los miembros de Health-ISAC son el Departamento de Seguridad Nacional (DHS), por su sección sobre CISA, y el Departamento de Salud y Servicios Humanos (HHS). Estas secciones incluyen lo siguiente:

• CISAEl presupuesto del presidente contempla una reducción de 707 millones de dólares en el presupuesto de CISA. El texto de esta sección sigue reflejando el deseo de la administración Trump de reestructurar y reorientar la misión y la organización de CISA hacia la defensa de las redes federales y la protección y resiliencia de la infraestructura crítica. Gran parte del texto de esta sección parece haber sido copiado y pegado directamente de la versión del año pasado, y critica la extralimitación de funciones, los programas duplicados y la politización de la agencia.^[ii] [iii]
• HHS—El presupuesto propuesto para el HHS “solicita 111.1 millones de dólares en autoridad presupuestaria discrecional… una disminución de 15.8 millones de dólares, o el 12.5 por ciento, con respecto al nivel aprobado en 2026”.^[iv] La principal prioridad política que se defiende en esta sección es la iniciativa «Hacer que Estados Unidos vuelva a estar sano» (MAHA, por sus siglas en inglés). Sin embargo, el punto más relevante para los miembros de Health-ISAC es probablemente el recorte propuesto de 356 millones de dólares a la Administración para la Preparación y Respuesta Estratégicas (ASPR, por sus siglas en inglés). Gran parte de este recorte se explica como una respuesta a la reorientación de la ASPR hacia sus funciones principales, alejándose de las responsabilidades ampliadas relacionadas con la respuesta a la COVID-19.

Si bien las reducciones presupuestarias propuestas para el HHS y la CISA resultan algo preocupantes, el presupuesto del Presidente es estratégico y de alto nivel. Para comprender cómo podrían afectar las reducciones presupuestarias propuestas a los programas relevantes de ciberseguridad y resiliencia, las Justificaciones Departamentales al Congreso ofrecen los detalles.

¿Qué dicen las justificaciones presupuestarias del HHS y la CISA ante el Congreso?

Para tener una idea más clara de cómo se pondría en práctica el presupuesto del Presidente, las justificaciones presupuestarias del Congreso para el HHS y el CISA proporcionan mucha más información.

• CISA—La justificación presupuestaria del CISA para el Congreso, de 279 páginas, proporciona un desglose exhaustivo de dónde provendrían los recortes presupuestarios propuestos de 700 millones de dólares. Entre los puntos de política y presupuesto más relevantes se encuentran:
  • La nueva plantilla base es de 2,865 empleados. Esta cifra representa una disminución con respecto a los 3,732 empleados al final de la administración Biden y supone la pérdida de 206 puestos en la División de Ciberseguridad, 225 en la División de Operaciones Integradas y prácticamente la totalidad de la División de Relaciones con las Partes Interesadas. La reducción de personal supone aproximadamente 360.5 millones de dólares del recorte presupuestario.
  • Un aumento de 5 millones de dólares para análisis y planificación que sirvan de base para el desarrollo de un Registro Nacional de Riesgos, el cual respaldará el trabajo continuo para identificar riesgos para la infraestructura y los sistemas nacionales, desarrollar escenarios y evaluaciones de riesgo específicos, y presentar riesgos seleccionados en un informe que incluirá una representación visual para comparar las consecuencias y la probabilidad o plausibilidad de los riesgos entre sí. Esta actividad fue solicitada en la Orden Ejecutiva anterior del Presidente Trump. Lograr la eficiencia mediante la preparación estatal y local..
  • Una reducción presupuestaria de 9.8 millones de dólares en el programa de Colaboración Conjunta de Ciberdefensa (JCDC).
  • Se priorizará la contratación y financiación de los Coordinadores Estatales de Ciberseguridad de CISA para que operen como personal de apoyo de ciberseguridad estatal asignado por el gobierno federal, con el fin de ayudar a fortalecer las defensas locales, guiar la respuesta coordinada y apoyar los esfuerzos de recuperación ante la escalada de amenazas cibernéticas.
  • Un modesto aumento de la financiación y del personal para ampliar el apoyo de enlace en los sectores SRMA que no pertenecen a CISA, incluidos 8 nuevos puestos de enlace de gestión de riesgos sectoriales para los sectores en los que CISA no es la Agencia de Gestión de Riesgos Sectoriales (SRMA).
  • La priorización explícita de los esfuerzos para contrarrestar las amenazas que la República Popular China plantea a los gobiernos y a la infraestructura crítica. Esto incluye el intercambio de información.
• HHS: ASPR—La justificación presupuestaria del Congreso de ASPR, de 62 páginas, muestra una reducción general de aproximadamente 355 millones de dólares y una reasignación adicional del presupuesto restante. El programa de Preparación y Recuperación de la Atención Médica sufre una enorme reducción, pasando de aproximadamente 305 millones de dólares a poco menos de 30 millones, lo que parece afectar a los acuerdos de cooperación del Programa de Preparación Hospitalaria (HPP), el Acuerdo de Cooperación del Sistema Regional de Respuesta Sanitaria ante Desastres (RDHRS), las actividades de Atención de Traumatismos, las Actividades y Operaciones de Apoyo a la Preparación y Recuperación de la Atención Médica, la Mitigación y Recuperación Comunitaria y el programa de Recursos Técnicos, Centro de Asistencia e Intercambio de Información (TRACIE). Sin embargo, el documento señala que se propone que el presupuesto de Ciberseguridad y Protección de Infraestructura (CIP) permanezca sin cambios con respecto a los dos años fiscales anteriores.^[V] El documento destaca los casi 2,000 incidentes de ciberseguridad que CIP clasificó entre finales de 2024 y finales de 2025, y promociona un nuevo módulo para su conjunto de herramientas de identificación de riesgos y criticidad del sitio (RISC, por sus siglas en inglés) que se lanzará en 2026, el cual se alinea con el NIST CSF 2.0 y los objetivos de rendimiento de ciberseguridad (CPG, por sus siglas en inglés) del sector de la salud pública y sanitaria.
• Departamento de Salud y Servicios Humanos: Oficina del Secretario—La justificación presupuestaria del Congreso, de 190 páginas, para la Oficina del Secretario incluye algunas propuestas de reorganización departamental.^[VI] Según el documento, la Oficina de Derechos Civiles (OCR), la Oficina de Audiencias y Apelaciones de Medicare, la Junta de Apelaciones Departamentales, la Oficina de Protección de la Investigación Humana, la Oficina de Protección de la Investigación Animal y la Oficina de Integridad de la Investigación se fusionarán en la Oficina del Subsecretario de Derechos Civiles y Apelaciones (ASCRA). Esta reestructuración parece similar a una propuesta de marzo pasado que colocaba algunas de estas oficinas bajo la supervisión de un nuevo Subsecretario de Cumplimiento.^[Vii]

  El documento continúa describiendo cómo ASCRA “llevará a cabo el cumplimiento legal mediante la aplicación de la ley y la resolución de controversias en el ámbito de la salud y los servicios humanos” y cómo la “consolidación propuesta está diseñada para agilizar la supervisión, mejorar la coordinación de la aplicación de la ley y la resolución de controversias, proporcionar educación y orientación sobre las autoridades legales pertinentes y fortalecer la capacidad del HHS para cumplir con sus obligaciones legales”.^[Viii]

  La solicitud presupuestaria del Presidente para el año fiscal 27 destinada a la ASCRA asciende a poco más de 241 millones de dólares, lo que, según el documento, representa un aumento de casi 5 millones de dólares con respecto al nivel aprobado para el año fiscal 26. Además, el total incluye una proyección de 10,000,000 millones de dólares en fondos provenientes de acuerdos monetarios civiles, que la Oficina de Derechos Civiles utilizará para impulsar las medidas de cumplimiento de la HIPAA.^[Ex]

• HHS: FDA—La justificación presupuestaria de la Administración de Alimentos y Medicamentos (FDA) ante el Congreso, de 91 páginas, no hace referencia explícita a la ciberseguridad en absoluto.^[X] Sin embargo, incluye una sección sobre Dispositivos y Salud Radiológica, que también abarca el Centro para Dispositivos y Salud Radiológica (CDRH). Esta sección destaca un modesto aumento presupuestario para Dispositivos y Salud Radiológica, que pasa de poco más de los 913 millones de dólares aprobados para el año fiscal 2026 a poco más de mil millones de dólares. La FDA justifica este aumento afirmando que está «igualmente comprometida con la detección y el abordaje temprano de los riesgos de seguridad para proteger a los pacientes y garantizar que la agencia siga siendo la primera entre las agencias reguladoras del mundo en identificar y actuar ante las señales de seguridad relacionadas con los dispositivos médicos».^[Xi]

Acción y análisis
**Incluido con la membresía de Health-ISAC**

^[i]. https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[ii] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[iii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[iv] https://www.whitehouse.gov/wp-content/uploads/2026/04/budget_fy2027.pdf

^[V] https://aspr.hhs.gov/AboutASPR/BudgetandFunding/Documents/FY2027/ASPR-cj.pdf

^[VI] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Vii] https://www.hhs.gov/press-room/hhs-restructuring-doge.html

^[Viii] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[Ex] https://www.hhs.gov/sites/default/files/fy-2027-gdm-cj.pdf

^[X] https://www.fda.gov/media/191778/download?attachment

^[Xi] https://www.fda.gov/media/191778/download?attachment

^[Xii] https://www.meritalk.com/articles/trump-budget-slashes-cisa-science-funding-boosts-space-mission/

^[Xiii]https://www.whitehouse.gov/wp-content/uploads/2025/05/Fiscal-Year-2026-Discretionary-Budget-Request.pdf

^[Xiv]https://federalnewsnetwork.com/budget/2025/06/house-appropriators-soften-cisa-cuts-call-for-dhs-contractor-cyber-readiness-pilot/

• Recursos y noticias relacionados
• Manual del CISO, vol. 2: Vulnerabilidad del token 0Auth que provocó la filtración de datos en Salesforce.
• Boletín Mensual – Mayo 2026
• Análisis trimestral de amenazas: primer trimestre de 1
• Lo que revela el ataque a Stryker sobre la seguridad de los dispositivos médicos
• Políticas y salvaguardias para el uso seguro de la IA
• HSCC presenta una guía sobre riesgos de IA de terceros y transparencia en la cadena de suministro.
• Anthropic presenta un mágico dios informático de día cero.
• El sector sanitario en el punto de mira: las ciberamenazas vinculadas a Irán aumentan el riesgo para los hospitales, la tecnología médica y las cadenas de suministro de atención sanitaria.
• Health-ISAC señala deficiencias en la ciberresiliencia y la respuesta ante incidentes…
• Mythos y herramientas de IA similares aumentan la presión sobre la ciberseguridad en el sector sanitario.