El punto de partida
El equipo de TI eran seis personas para siete clínicas: sistemas, redes, soporte al HIS — el sistema de información hospitalaria del que depende toda la actividad asistencial — y ni una sola dedicada a seguridad. La protección era un antivirus tradicional, y la visibilidad terminaba donde terminaba la jornada: a partir de las ocho de la tarde y durante todo el fin de semana, nadie miraba nada. El susto llegó un lunes: un técnico encontró rastros de un intento de intrusión que llevaba activo desde el viernes por la noche. Esa vez no pasó nada. Fue suerte, y lo sabían.
A eso se sumaban dos particularidades del sector. Una: buena parte del parque era equipamiento de diagnóstico con Windows antiguos que el fabricante no permite parchear ni tocar. Otra: los datos tratados son historias clínicas — categoría especial del RGPD — y NIS2 clasificaba al grupo como entidad esencial del sector salud, con la obligación de demostrar capacidad de detección y respuesta, no solo de contarla.
Cómo lo abordamos
- Despliegue de EDR e inventario real — agentes en ~1.100 endpoints y servidores de las siete clínicas, desplegados por oleadas para no interferir con la actividad asistencial. El inventario destapó la primera sorpresa: un 14% de activos conectados que TI no tenía censados, desde equipos de consulta hasta un servidor de pruebas olvidado con acceso al HIS.
- El legacy médico no se toca: se aísla y se vigila — en los equipos de diagnóstico con Windows no parcheables no se instaló ningún agente. En su lugar, microsegmentación de red para que solo hablen con lo estrictamente necesario y monitorización reforzada de su tráfico desde fuera. Cualquier conexión anómala desde un TAC o un ecógrafo salta como alerta prioritaria.
- Casos de uso priorizados con el negocio, no con un catálogo — playbooks construidos sobre los tres escenarios que más daño harían: ransomware, acceso anómalo a historia clínica y exfiltración de datos. Cada uno con acciones de contención predefinidas y umbrales acordados con dirección.
- Escalado definido con TI y dirección médica — quién decide aislar un servidor del HIS a las tres de la mañana no puede improvisarse. Se definió una cadena de escalado con guardias de TI y un interlocutor de dirección médica localizable, con criterios claros de cuándo el SOC actúa solo y cuándo despierta a alguien.
- Operación 24/7 y mejora continua — vigilancia permanente desde nuestro SOC, con revisión mensual de métricas (detecciones, falsos positivos, tiempos de respuesta) y ajuste de reglas y playbooks. El servicio del mes doce no se parece al del mes uno: detecta más y molesta menos.
- Vigilancia mensual de credenciales expuestas e inteligencia de amenazas — cada mes se rastrean fuentes abiertas, foros de compraventa, canales de filtraciones y volcados de brechas de terceros en busca de credenciales corporativas del grupo. Solo en el primer año aparecieron 47 credenciales expuestas en filtraciones de servicios externos — todas se rotaron antes de que nadie pudiera usarlas, y tres pertenecían a cuentas con acceso al HIS. Cada hallazgo alimenta un informe mensual de inteligencia para dirección: exposiciones nuevas, campañas activas contra el sector salud, técnicas observadas en los incidentes propios y recomendaciones priorizadas. Dirección dejó de enterarse de las amenazas por la prensa: las ve venir en su informe.
Resultados
11 min
de MTTD mediano: la detección pasó de días a minutos
3
incidentes reales contenidos fuera de horario laboral en el primer año
100%
de visibilidad sobre los endpoints censados, desde el ~86% inicial
Los tres incidentes del primer año — dos intentos de ransomware detectados en fase inicial y una cuenta comprometida usada de madrugada — se contuvieron sin que la actividad asistencial se viera afectada: ninguna clínica dejó de operar ni una hora. Y cuando llegó la fecha de aplicabilidad de NIS2, el grupo no tuvo que improvisar un relato: tenía métricas, playbooks e incidentes gestionados con los que demostrar capacidad real de detección y respuesta.
La vigilancia mensual de credenciales expuestas añadió una capa que el EDR no ve: las 47 credenciales rotadas a tiempo eran puertas de entrada compradas y pagadas que nunca llegaron a abrirse. Y el informe mensual de inteligencia convirtió la seguridad en un asunto de comité de dirección, con datos del propio grupo y de su sector — no en un anexo técnico que nadie leía.
Claves del caso
- En sanidad la disponibilidad no es solo operativa: es clínica. Un servidor del HIS caído no es un ticket, es una consulta que no puede atender pacientes.
- El legacy médico no se parchea — se aísla y se vigila. Pretender instalar agentes en un TAC es la vía rápida a perder la garantía y la paciencia del fabricante.
- Sin operación 24/7, los tres incidentes del año habrían sido tres desastres de lunes por la mañana. Los atacantes trabajan justo cuando TI no está.
Preguntas frecuentes
¿Qué incluye exactamente un SOC gestionado (MDR)?
Detección y respuesta 24/7 con analistas reales: despliegue de EDR en endpoints y servidores, playbooks de contención adaptados a los escenarios que más daño harían al negocio, una cadena de escalado pactada con TI y dirección, y mejora continua de reglas con revisión mensual de métricas. En nuestro caso incluye además vigilancia mensual de credenciales corporativas expuestas en filtraciones de terceros y un informe mensual de inteligencia para dirección, con exposiciones nuevas, campañas activas contra el sector y recomendaciones priorizadas.
Tenemos equipos legacy que no admiten agente, ¿nos sirve igualmente?
Sí. Los equipos que el fabricante no permite parchear ni tocar — habitual en equipamiento médico o industrial — no se dejan fuera del servicio: se aíslan con microsegmentación de red para que solo hablen con lo estrictamente necesario y se vigila su tráfico desde fuera. Cualquier conexión anómala desde uno de esos equipos genera una alerta prioritaria, sin instalar nada en ellos ni comprometer la garantía.
¿Cuánto se tarda en desplegar un SOC gestionado?
El despliegue inicial — agentes EDR, inventario de activos y primeros casos de uso — se hace por oleadas en semanas, sin interferir con la operativa. La vigilancia 24/7 arranca en cuanto hay telemetría, pero el servicio madura con el uso: los primeros meses se dedican a ajustar reglas y playbooks con datos reales, y el servicio del mes doce detecta más y molesta menos que el del mes uno.
¿Un SOC gestionado sustituye a nuestro equipo de TI?
No: lo complementa. TI conserva la administración de sistemas y el conocimiento del negocio; el SOC aporta la vigilancia continua, la capacidad de análisis y la respuesta fuera de horario que un equipo interno pequeño no puede cubrir. La cadena de escalado se define juntos: queda pactado cuándo el SOC contiene solo y cuándo despierta a alguien de TI o de dirección.
Servicios relacionados
¿Quién vigila tu red esta noche?
Si la respuesta es "nadie", los atacantes ya lo saben. Nuestro SOC gestionado da detección y respuesta 24/7 con analistas reales, playbooks a medida y métricas que puedes enseñar a un auditor.