La regla de seguridad HIPAA de 2026, que se finalizó en mayo de 2026, introduce cambios significativos en la ciberseguridad de la atención médica, marcando una desviación de la normativa de 2003. La actualización, ya citada en acuerdos de resolución de la Oficina de Derechos Civiles (OCR), exige una evaluación de riesgos anual obligatoria, cifrado universal de Información de Salud Protegida Electrónica (ePHI), autenticación multifactor (MFA) en todos los sistemas y documentación de cumplimiento más detallada. Los reguladores ahora exigen inventarios precisos de activos que tocan ePHI, y el MFA en el acceso remoto se considera un requisito, no una opción. Además, se requiere la verificación anual de los Acuerdos de Responsabilidad del Socio Comercial (BAA). Estos cambios responden a la evolución del panorama tecnológico, incluyendo la adopción de la computación en la nube, la telemedicina, la inteligencia artificial y el aumento de los ataques de ransomware. Las organizaciones que comiencen a prepararse ahora estarán mejor posicionadas, mientras que la demora podría resultar en una adaptación apresurada y costosa.
Hipaa actualiza ciberseguridad: ¿qué cambia para la salud?
