Cumplimiento de la HIPAA para los MSP: qué está cambiando y qué debe hacer ahora

La HIPAA (Ley de Portabilidad y Responsabilidad del Seguro Médico) es uno de los marcos normativos más conocidos de Estados Unidos y uno de los más importantes para los proveedores de servicios gestionados (MSP) que prestan servicios a clientes del sector sanitario. Si su MSP gestiona los sistemas de TI de hospitales, clínicas, consultas dentales, proveedores de servicios de salud mental, aseguradoras médicas o cualquier otra organización que maneje información médica protegida (PHI), el cumplimiento de la HIPAA no es opcional. Se trata de una obligación legal que se aplica directamente a la relación de prestación de servicios.

Según el informe «State of the MSP» de Kaseya de 2026, el 71 % de los proveedores de servicios gestionados (MSP) registraron un crecimiento interanual de sus ingresos por ciberseguridad, y los servicios de cumplimiento de la HIPAA constituyen un factor importante para los MSP que prestan servicios a clientes del sector sanitario. Descarga el informe completo.

Y lo que es más importante: la HIPAA está cambiando. El 27 de diciembre de 2024, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos (HHS) publicó un aviso de propuesta de reglamentación que, de aprobarse, supondrá la actualización más significativa de la Norma de Seguridad de la HIPAA desde 2003. Los proveedores de servicios gestionados (MSP) y los equipos de TI del sector sanitario que comprendan lo que se avecina podrán prepararse de forma proactiva, en lugar de tener que actuar a toda prisa cuando se publique la norma definitiva.

Qué es la HIPAA

La HIPAA es una ley federal de los Estados Unidos promulgada en 1996, cuya administración corre a cargo de la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS). Establece normas de privacidad y seguridad para la información médica protegida (PHI), es decir, la información médica que permite identificar a una persona y que se refiere a su estado de salud pasado, presente o futuro, a los tratamientos médicos recibidos o al pago de la asistencia sanitaria.

La ley se aplica a las «entidades sujetas a la ley» (proveedores de atención sanitaria, planes de salud y centros de intercambio de información sanitaria) y, lo que es más importante, a sus «socios comerciales», es decir, cualquier organización que cree, reciba, conserve o transmita información médica protegida (PHI) en nombre de una entidad sujeta a la ley.

Para los profesionales de TI, la Norma de Seguridad de la HIPAA, que regula la información médica protegida en formato electrónico (ePHI), es el aspecto más relevante desde el punto de vista operativo. Exige a las entidades sujetas a la normativa y a los socios comerciales que implementen medidas de seguridad administrativas, físicas y técnicas para proteger la confidencialidad, la integridad y la disponibilidad de la ePHI.

A quiénes se aplica la HIPAA, incluidos los MSP

Las entidades afectadas son los proveedores de asistencia sanitaria que realizan transacciones electrónicas habituales (facturación, derivaciones, comprobaciones de cobertura), los planes de salud y los centros de intercambio de información sanitaria.

Los socios comerciales son cualquier persona u organización que desempeña funciones relacionadas con la información médica protegida (PHI) en nombre de una entidad cubierta. Esto incluye a los proveedores de servicios informáticos, los servicios en la nube que alojan PHI, las empresas de facturación, los bufetes de abogados que se ocupan de asuntos sanitarios y los proveedores de servicios gestionados.

Un MSP que preste servicios de TI a una entidad cubierta, ya sea gestionando sistemas que contengan información médica protegida (PHI), proporcionando copias de seguridad que incluyan PHI, ofreciendo acceso remoto a sistemas clínicos o gestionando la seguridad de la red, se considera un socio comercial y está directamente sujeto a los requisitos de la Norma de Seguridad de la HIPAA.

Los subcontratistas de los socios comerciales también se consideran socios comerciales. Si un MSP recurre a un proveedor de copias de seguridad en la nube para almacenar copias de seguridad de la información médica protegida (PHI), dicho proveedor también es socio comercial de la entidad cubierta. Las obligaciones derivadas de la HIPAA se extienden a lo largo de la cadena de suministro.

Las tres normas de la HIPAA que los equipos de TI deben conocer

La Norma de Privacidad regula cómo se puede utilizar y divulgar la información médica protegida (PHI). Se trata principalmente de una cuestión normativa y administrativa, pero los equipos de TI deben comprenderla para configurar correctamente los controles de acceso y el registro de divulgaciones.

La Norma de Seguridad (45 CFR, partes 160 y 164) es el principal requisito técnico de cumplimiento. Exige a las entidades afectadas y a los socios comerciales que apliquen tres categorías de medidas de seguridad:

• Medidas de seguridad administrativas: análisis de riesgos, gestión de riesgos, formación del personal, procedimientos de gestión de accesos y procedimientos de respuesta ante incidentes.
• Medidas de seguridad físicas: controles de acceso a las instalaciones, políticas de uso y seguridad de los puestos de trabajo, controles de dispositivos y soportes.
• Medidas de seguridad técnicas: controles de acceso (identificadores de usuario únicos, acceso de emergencia, cierre de sesión automático, cifrado), controles de auditoría (registros de actividad de hardware y software), controles de integridad (que garantizan que la información médica protegida electrónica no haya sido alterada indebidamente) y seguridad de la transmisión (cifrado de la información médica protegida electrónica durante su transmisión).

La Norma de Notificación de Violaciones exige a las entidades afectadas que notifiquen a las personas afectadas, al Departamento de Salud y Servicios Humanos (HHS) y, en algunos casos, a los medios de comunicación, en un plazo de 60 días desde el descubrimiento de una violación de la información médica protegida (PHI) no protegida. Los socios comerciales deben notificar a la entidad afectada sin demoras injustificadas y en un plazo de 60 días desde el descubrimiento de una violación que afecte a la PHI de dicha entidad.

La actualización propuesta de la Norma de Seguridad: lo que los MSP deben tener en cuenta

La Notificación de Propuesta de Reglamentación (NPRM) de diciembre de 2024 constituye el cambio propuesto más significativo a la Norma de Seguridad de la HIPAA en más de dos décadas. El Departamento de Salud y Servicios Humanos (HHS) fijó mayo de 2026 como fecha prevista para la norma definitiva, aunque el periodo de comentarios generó cerca de 5 000 respuestas y el calendario definitivo podría sufrir modificaciones. La actual administración decidirá si se aprueba y de qué manera.

La dirección a seguir está clara, independientemente del calendario definitivo, y la labor de control de la OCR convierte estas áreas en prioritarias, con independencia de si se ha completado o no la actualización oficial.

El fin de las especificaciones «opcionales». El cambio estructural más importante de la norma propuesta es la eliminación de la distinción entre especificaciones de implementación «obligatorias» y «opcionales». Según la normativa vigente, las especificaciones opcionales permiten a las organizaciones justificar por qué un control no resulta adecuado para su entorno. La norma propuesta elimina esa flexibilidad para casi todas las especificaciones. Controles como la autenticación multifactorial (MFA) y el cifrado pasarían a ser obligatorios, sin posibilidad de excepción.

Autenticación multifactorial para todo acceso a sistemas de ePHI. La propuesta exigiría la autenticación multifactorial para todo acceso a los sistemas que crean, reciben, mantienen o transmiten ePHI, incluyendo tanto el acceso remoto como el acceso in situ a los sistemas. Esto subsanaría una laguna habitual en la que las entidades cubiertas y los socios comerciales de menor tamaño consideraban que la autenticación multifactorial «no era adecuada» en el marco de la norma flexible.

Cifrado en reposo y en tránsito. El cifrado de la ePHI pasaría de ser una medida recomendada a ser obligatorio, sin excepciones. La ePHI cifrada que se pierda o sea objeto de un robo ya cumple los requisitos para acogerse a la excepción de «puerto seguro» en materia de notificación de violaciones, según la normativa vigente. Hacer obligatorio el cifrado codifica lo que ya exige una práctica defendible.

Segmentación de la red. Requisito propuesto para aislar los sistemas que gestionan información médica protegida (ePHI) del resto de la red, incluida la separación de los dispositivos del Internet de las cosas (IoT), los sistemas del edificio y los equipos médicos conectados. Esto es relevante para los proveedores de servicios gestionados (MSP) que gestionan entornos sanitarios que han crecido de forma orgánica y han acumulado una infraestructura sin segmentar.

Análisis de vulnerabilidades y pruebas de penetración. La propuesta establece la realización de análisis automatizados de vulnerabilidades al menos cada seis meses y de pruebas de penetración anuales de los sistemas de ePHI, llevadas a cabo por profesionales cualificados en ciberseguridad, con documentación escrita de los resultados y las medidas correctivas.

Requisitos de copia de seguridad y recuperación. Se establecen requisitos más explícitos para las copias de seguridad de la información médica protegida electrónica (ePHI), lo que incluye copias de seguridad fuera de línea, objetivos de tiempo de recuperación documentados y una atención específica a los sistemas de copia de seguridad que pueden ser blanco de ataques de ransomware. Para los proveedores de servicios gestionados (MSP) que gestionan la planificación de la continuidad del negocio y la recuperación ante desastres (BCDR) en el sector sanitario, esto significa que la arquitectura de copias de seguridad y las pruebas de recuperación pasan a constituir pruebas documentadas de cumplimiento normativo, y no solo buenas prácticas operativas.

Inventario de activos y mapeo de la red. Inventario documentado de todos los activos tecnológicos que crean, reciben, mantienen o transmiten información médica protegida en formato electrónico (ePHI), actualizado anualmente y tras cualquier cambio significativo en el entorno. Las herramientas de detección de activos y los resultados del mapeo de la red, que ya son habituales en la gestión de TI basada en RMM, pasan a constituir pruebas formales de cumplimiento en virtud de la norma propuesta.

Requisitos más estrictos para los acuerdos de socio comercial (BAA). La norma propuesta exigiría que los BAA especifiquen las medidas de seguridad técnicas que aplica el socio comercial y que se verifique anualmente que dichas medidas se aplican efectivamente. Ya no bastaría con un simple BAA firmado: las entidades afectadas necesitarían pruebas documentadas de que sus socios comerciales cumplen con sus obligaciones.

Notificación de incidentes por parte de los socios comerciales: notificación en un plazo de 24 horas. La norma propuesta exigiría a los socios comerciales que notificaran a las entidades afectadas en un plazo de 24 horas desde la activación de un plan de respuesta a incidentes o de contingencia, lo que endurecería considerablemente la norma actual de «sin demoras injustificadas en un plazo de 60 días». Un proveedor de servicios gestionados (MSP) que detectara un incidente de seguridad que afectara a un cliente del sector sanitario a las 23:00 horas de un viernes tendría que notificarlo a la entidad afectada antes de la medianoche del sábado.

Para los MSP que prestan servicios a clientes del sector sanitario, incluso los cambios propuestos indican hacia dónde deben dirigirse las inversiones. Independientemente de si la normativa definitiva coincide exactamente con la propuesta, la tendencia en materia de aplicación ya se está moviendo en esta dirección.

Acuerdos de socio comercial: la base del cumplimiento de la normativa MSP

Un acuerdo de socio comercial (BAA) es un contrato exigido por la HIPAA entre una entidad cubierta y sus socios comerciales. Sin un BAA, la entidad cubierta no puede compartir legalmente información médica protegida (PHI) con el MSP. Operar como socio comercial sin un BAA vigente constituye una infracción de la HIPAA para ambas partes.

Un acuerdo de confidencialidad (BAA) válido debe especificar:

• Qué información médica protegida gestiona el socio comercial en nombre de la entidad cubierta
• Usos y divulgaciones permitidos de la información médica protegida
• Medidas de seguridad necesarias, de conformidad con la Norma de Seguridad de la HIPAA
• Obligaciones y plazos en materia de notificación de violaciones de seguridad
• Obligaciones para con los subcontratistas posteriores, incluidos los requisitos derivados del acuerdo marco de contratación (BAA)
• Obligaciones al término del contrato: devolución o destrucción de la información médica protegida

Los proveedores de servicios médicos (MSP) que no hayan firmado un acuerdo de socio comercial (BAA) con todos los clientes del sector sanitario que manejen información médica protegida (PHI) están infringiendo la normativa. Esta es una de las deficiencias en el cumplimiento de la HIPAA que se citan con mayor frecuencia y una de las que se pueden evitar por completo. Las medidas coercitivas de la OCR en 2025 incluyeron explícitamente los fallos en el análisis de riesgos y en los BAA como conclusiones fundamentales en múltiples acuerdos con socios comerciales.

Según la norma propuesta, los acuerdos de confidencialidad (BAA) deberían ser mucho más específicos. En lugar de limitarse a una formulación general sobre obligaciones de seguridad, los BAA deberían identificar las medidas de seguridad técnicas concretas que se aplican e incluir una verificación anual del cumplimiento. Los proveedores de servicios de gestión (MSP) deberían revisar ahora mismo sus plantillas actuales de BAA a la luz de los requisitos propuestos.

Compliance Manager GRC Kaseya facilita la documentación de los acuerdos de negocio (BAA) y la evaluación de deficiencias en la norma de seguridad de la HIPAA, lo que ofrece a los proveedores de servicios gestionados (MSP) una forma estructurada de hacer un seguimiento de qué clientes requieren dichos acuerdos, qué compromisos se han establecido y qué pruebas técnicas se necesitan para respaldarlos. Descubre Compliance Manager GRC.

Aplicación de la HIPAA: cuáles son las sanciones

Las sanciones civiles previstas en la HIPAA se clasifican según el grado de culpabilidad y se ajustan anualmente en función de la inflación:

– Nivel 1, Desconocido: de 100 a 50 000 dólares por infracción, con un límite anual de 25 000 dólares

– Nivel 2, causa justificada: de 1.000 a 50.000 dólares por infracción, con un límite anual de 100.000 dólares

– Nivel 3, negligencia deliberada, corregido: de 10 000 a 50 000 dólares por infracción, con un límite anual de 250 000 dólares

– Nivel 4, negligencia deliberada no subsanada: 50 000 dólares por infracción, con un límite anual de 1,5 millones de dólares

Las sanciones penales previstas en la HIPAA pueden ascender a 250 000 dólares y 10 años de prisión en caso de infracciones cometidas a sabiendas. Los fiscales generales estatales también pueden iniciar acciones coercitivas paralelas en virtud de la legislación estatal, lo que puede acarrear sanciones adicionales y requisitos de reparación.

La aplicación de la normativa por parte de la OCR alcanzó un hito significativo en 2024, con 22 investigaciones que dieron lugar a sanciones pecuniarias civiles o acuerdos extrajudiciales, lo que lo convirtió en uno de los años más activos en materia de aplicación de la normativa de los que se tiene constancia. Solo en los primeros cinco meses de 2025, la OCR anunció 10 acuerdos de resolución que afectaban a entidades reguladas y socios comerciales.

La conclusión que se desprende de todas las medidas coercitivas recientes es la misma: la falta de un análisis de riesgos exhaustivo y documentado. Entre las medidas coercitivas adoptadas por la OCR en 2025 se incluye un acuerdo de 3 millones de dólares con una empresa de facturación médica que no había realizado un análisis de riesgos antes de que un ataque de ransomware comprometiera los datos de 585 000 personas. La empresa era un socio comercial, no una entidad sujeta a la normativa. La responsabilidad directa de los socios comerciales es una realidad consolidada en materia de cumplimiento normativo, no un riesgo teórico.

Creación de una empresa de servicios gestionados (MSP) que cumpla con la HIPAA

Los siguientes pasos se aplican tanto a las obligaciones de un MSP en su calidad de socio comercial como a los programas de cumplimiento que lleva a cabo en nombre de sus clientes del sector sanitario.

Paso 1: Identifique a todos los clientes del sector sanitario que manejan información médica protegida (PHI). Averigüe a quiénes presta servicio y qué datos circulan por sus entornos. Esto determina el alcance de sus obligaciones en virtud del acuerdo de cuenta de negocios (BAA) y de su propio programa de cumplimiento.

Paso 2: Formalizar acuerdos de confidencialidad (BAA) con todos los clientes que sean entidades sujetas a la normativa. Si aún no se han firmado acuerdos de confidencialidad con todos los clientes del sector sanitario que manejan información médica protegida (PHI), esta debe ser la prioridad inmediata.

Paso 3: Realizar un análisis de riesgos documentado. La HIPAA exige un análisis de riesgos de seguridad preciso y exhaustivo, en el que se identifiquen los riesgos para la ePHI en los sistemas que gestiona, se evalúen la probabilidad y el impacto, y se documenten las decisiones relativas a la gestión de riesgos. Esta es la base administrativa del cumplimiento normativo. Sin un análisis de riesgos documentado, ningún otro control técnico puede considerarse que cumpla con la normativa de forma defendible. El historial de medidas coercitivas de la OCR en 2024 y 2025 convierte el incumplimiento del análisis de riesgos en la vía más directa hacia un acuerdo extrajudicial.

Paso 4: Aplicar la autenticación de dos factores (MFA) a todos los accesos a los sistemas que contengan información médica protegida (ePHI). Teniendo en cuenta tanto las directrices actuales aplicables como la norma obligatoria propuesta, la autenticación de dos factores (MFA) en todos los accesos a los sistemas que contengan información médica protegida (PHI) es necesaria para garantizar un cumplimiento justificable. Esto incluye el acceso remoto, las cuentas de administrador y cualquier portal con acceso a los sistemas clínicos.

Paso 5: Implementar el cifrado. Cifre la ePHI almacenada en todos los dispositivos gestionados y en tránsito a través de todas las redes. La ePHI cifrada que se pierda o sea objeto de un robo cumple los requisitos para acogerse a la excepción de «puerto seguro» en materia de notificación de violaciones prevista en la Norma de Notificación de Violaciones; el cifrado constituye tanto un control de cumplimiento como una herramienta de reducción de riesgos en la respuesta a incidentes.

Paso 6: Garantizar copias de seguridad que cumplan con la HIPAA. Copias de seguridad de la ePHI con procedimientos de recuperación documentados, capacidad de restauración probada y copias fuera de línea o inmutables que resistan los ataques de ransomware. Datto BCDR proporciona la capacidad técnica necesaria para los MSP que gestionan entornos sanitarios; los procedimientos operativos deben documentarse y someterse a pruebas con respecto a los objetivos de tiempo de recuperación definidos.

Paso 7: Implemente el registro de auditoría. Registre todos los accesos a los sistemas que contengan ePHI. Revise los registros con regularidad. Conserve los registros durante al menos seis años, de conformidad con la norma de conservación de registros de la HIPAA.

Paso 8: Documentar y poner a prueba la respuesta ante incidentes. La norma propuesta exigiría la realización de pruebas anuales de los planes formales de respuesta ante incidentes. Documentar y poner a prueba los procedimientos de respuesta ante incidentes ahora le permite adelantarse a este requisito y subsanar una deficiencia que la OCR ha señalado en repetidas ocasiones.

Compliance Manager GRC un módulo de evaluación de la Norma de Seguridad de la HIPAA que permite a los proveedores de servicios gestionados (MSP) realizar un seguimiento del estado de cumplimiento con respecto a los requisitos vigentes, llevar a cabo y documentar análisis de riesgos, asignar controles a la Norma de Seguridad y generar pruebas para las auditorías de la OCR o las revisiones de seguridad de los clientes. Descúbrelo aquí.