Esta semana, Salud-ISAC®'s Hackeando la atención sanitaria® Nos esforzamos por ponerle al día sobre lo que está sucediendo en la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) después de que la financiación del Congreso pusiera fin a un cierre de 76 días que afectó a esta importante agencia de ciberseguridad.
Como recordatorio, esta es la versión pública del blog Hacking Healthcare. Para obtener más análisis y opiniones en profundidad, conviértase en miembro de H-ISAC y reciba la versión TLP Amber de este blog (disponible en el Portal de miembros).
Versión PDF:
Versión de texto:
Bienvenidos nuevamente a Hacking Healthcare® !
Ejercicio de pasatiempos en América 2026
Antes de entrar de lleno en el artículo de hoy, nos acercamos rápidamente al séptimo ejercicio anual Americas Hobby Exercise, y animamos a los miembros de Health-ISAC a que consideren registrar su interés en asistir. El ejercicio consiste en un taller de un día completo y un ejercicio de simulación de mesa con miembros de Health-ISAC, agencias del Gobierno de los Estados Unidos y otros sectores de infraestructura crítica. El ejercicio está diseñado para crear conciencia sobre los problemas que enfrenta el sector de la salud durante y después de un incidente grave, y para construir relaciones duraderas dentro y entre el sector de la salud y el gobierno, con el fin de fortalecer la comprensión, la respuesta y los planes y actividades de recuperación.
El evento Hobby Exercise de este año se celebrará el 24 de junio en Washington, DC. Los miembros pueden registrar su interés aquí:
https://portal.h-isac.org/s/community-event?id=a1YVn000005srUHMAY.
Para quienes estén interesados en obtener más información, el informe del año pasado se puede encontrar aquí: https://health-isac.org/2025-americas-hobby-exercise-after-action-report/
Evaluación de CISA tras un cierre prolongado
El 30 de abril, tras 76 días de cierre del gobierno, el presidente Trump firmó un proyecto de ley de compromiso del Congreso para financiar el Departamento de Seguridad Nacional (DHS). Esta financiación ha permitido a CISA comenzar a retomar sus operaciones con normalidad. Por lo tanto, este es un buen momento para evaluar el estado de la agencia con respecto a la tan esperada (y técnicamente tardía) norma final de la Ley de Notificación de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA), y qué deberían pensar los sectores de infraestructura crítica sobre la iniciativa "CI Fortify" recientemente presentada por CISA.
Actualización de CIRCIA
Aprobada en 2022, la ley se centró principalmente en establecer requisitos de notificación para incidentes cibernéticos y pagos de rescate en diversas entidades cubiertas. Se espera que estos informes ayuden a la CISA a responder cuando sea necesario, a la vez que brindan a los responsables políticos una visión más clara del panorama general de amenazas y sus repercusiones en las entidades cubiertas. El papel de la CISA en la finalización de la CIRCIA incluye la elaboración de una norma definitiva que aclare muchos de sus detalles técnicos.
La normativa CIRCIA estipulaba que CISA debía elaborar una norma definitiva para octubre del año pasado. Al no cumplirse este plazo, se especuló con la posibilidad de que la nueva fecha límite fuera la primavera de 2026, basándose en la información contenida en la Agenda Unificada de Acciones Regulatorias y Desregulatorias de la primavera de 2025, que sugería su publicación en mayo. El escepticismo sobre esta nueva fecha límite aumentó cuando CISA publicó un aviso en febrero de este año anunciando su intención de celebrar una serie de reuniones informativas en marzo y abril para recabar más opiniones de las partes interesadas y así «perfeccionar» el «alcance y la carga» de CIRCIA.[i]. Este esfuerzo quedó entonces paralizado cuando el cierre del gobierno detuvo todas las operaciones no esenciales.
Ahora que el cierre ha terminado, la información actualmente disponible de CISA en su página web de CIRCIA es la siguiente:[ii] indica que aún tienen la intención de celebrar estas asambleas públicas, y señalan que el cierre es "probable" y que provocará "un retraso en la emisión de la norma final de la CIRCIA".[iii]
¡Fortalecer!
A pesar de que el cierre del gobierno terminó hace poco, CISA ha lanzado una nueva iniciativa para fortalecer la resiliencia de las entidades de infraestructura crítica del país. El 5 de mayo, CISA publicó un comunicado de prensa anunciando “CI Fortify”.[iv] CISA describe esta iniciativa como una guía “para ayudar a las entidades de infraestructura crítica (IC) de todos los sectores a prepararse para operar durante una crisis o conflicto, continuando la prestación de servicios vitales incluso cuando sus sistemas están siendo atacados”, al tiempo que “…fortalece la resiliencia y ayuda a las entidades de IC y a sus socios a mantener un nivel básico de continuidad para los servicios críticos durante un ciberataque”.[V]
La página web actual de la iniciativa destaca específicamente las amenazas que representan los actores estatales para la infraestructura crítica, especialmente en el contexto de un conflicto geopolítico más amplio. La iniciativa parece centrarse en las capacidades de aislamiento y recuperación como medio para mantener las operaciones esenciales durante un conflicto geopolítico.[VI] El aislamiento se refiere a la capacidad de desconectarse proactivamente de terceros según sea necesario y de mantener la capacidad de brindar servicios esenciales durante un período prolongado (meses). La recuperación se refiere a garantizar la documentación adecuada, las copias de seguridad y la solución de las dependencias de comunicación.
También hay un “llamamiento a la acción para los no operadores” que ayuda a identificar cómo Proveedores y distribuidores de sistemas de control para automatización industrial, Proveedores e integradores de servicios gestionados, Proveedores de seguridad, el Voluntariado puede ayudar con los esfuerzos.
Por el momento, no parece haber objetivos específicos, plazos, financiación ni nuevos recursos relacionados con CI Fortify.
Acción y análisis
**Incluido con la membresía de Health-ISAC**
[i]. https://www.federalregister.gov/documents/2026/02/13/2026-02948/cyber-incident-reporting-for-critical-infrastructure-act-circia-rulemaking-town-hall-meetings
[ii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[iii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/cyber-incident-reporting-critical-infrastructure-act-2022-circia
[iv] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[V] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[VI] https://www.cisa.gov/topics/industrial-control-systems/ci-fortify
[Vii] https://health-isac.org/health-isac-hacking-healthcare-2-19-2026/
[Viii] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[Ex] https://www.cisa.gov/topics/cyber-threats-and-advisories/information-sharing/circia/faqs
[X] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
[Xi] https://www.cisa.gov/news-events/news/cisa-unveils-new-initiative-fortify-americas-critical-infrastructure
- Recursos y noticias relacionados
- El aumento de los ataques de CalPhishing en el sector sanitario
- Mejores prácticas para la gestión de identidades y accesos de terceros.
- Lo que los líderes del sector sanitario deben saber sobre ciberseguridad en 2026-2027.
- Qué significa la orden ejecutiva de Trump sobre IA para el sector sanitario.
- Informe sobre el panorama de amenazas en la atención sanitaria y la asistencia social
- La IA agente en la atención médica es una propuesta arriesgada.
- Live@eXchange Día 2 – Analista de seguridad de dispositivos médicos de Health-ISAC
- Salud-ISAC Hackeando la sanidad 6-3-2026
- Nuevas vulnerabilidades dirigidas al sector sanitario
- Boletín Mensual – Junio 2026