¿Necesita Cloud Computing? Empiece ahora

Por qué las aseguradoras son esenciales para la seguridad de las API en el ecosistema sanitario

Primer plano de Carley Thornell

escrito por

Carley Thornell

April 08, 2024

Primer plano de Carley Thornell

escrito por

Carley Thornell

Carley Thornell es la estratega de Marketing del Sector para las ciencias de la salud y de la vida en Akamai. Cuenta con una amplia experiencia en liderazgo intelectual en el ámbito de la tecnología, como la dirección del equipo de investigación y estrategia de contenidos en uno de los sistemas de registros sanitarios electrónicos más importantes del país.

Aunque el elevado uso de las API por parte de las aseguradoras ofrece enormes beneficios, también presenta riesgos.
Aunque el elevado uso de las API por parte de las aseguradoras ofrece enormes beneficios, también presenta riesgos.

Por el décimo aniversario de los informes sobre el estado de Internet (SOTI)de Akamai, compartiremos información de sectores clave a los que prestamos servicio, como el sanitario y el de las ciencias de la vida. Esta es la primera entrada de blog de una serie SOTI que culminará con un informe global posterior este mismo año. 

10 años de información sobre seguridad

Gracias a un acceso consistente tanto a datos clínicos como financieros, las aseguradoras son el nexo para el uso compartido de datos en el ecosistema sanitario, y cada vez dependen más de las interfaces de programación de aplicaciones (API) para hacerlo posible. Las API permiten compartir datos entre proveedores, aseguradoras, pacientes y otras terceras partes, como los sistemas de expedientes médicos electrónicos, las empresas de dispositivos médicos y los intercambios de información sanitaria. 

El avance hacia la interoperabilidad permite obtener mejores resultados financieros y para los pacientes, pero también implica concesiones, en particular, importantes requisitos de conformidad y consideraciones sobre la seguridad. Los ciberdelincuentes y los agregadores atacan estas capacidades y hacen un uso indebido de ellas, lo que puede provocar problemas de seguridad y privacidad.  

Para las aseguradoras, los ataques basados en las API también pueden causar interrupciones del servicio que afectan a operaciones de inscripción abierta y reclamaciones, provocar tiempos de inactividad con un alto coste y dañar la marca de la empresa. 

En esta entrada de blog, analizamos los datos y las tendencias de amenazas relacionadas con los ataques a las API para comprender el alcance de los riesgos y presentar las mejores prácticas para su mitigación.

Ataques a las API bajo el microscopio

La investigación de Akamai reveló que, de enero a diciembre de 2023, casi la mitad de los ataques a las API del ecosistema sanitario (aseguradoras, proveedores, y empresas farmacéuticas y de ciencias de la vida) estaban dirigidos a las compañías aseguradoras. Esto significa que las aseguradoras se enfrentan a un riesgo mayor de uso indebido de las API por parte de los atacantes que otros subsectores menos centrados en los formatos digitales.

Observamos una tendencia similar en otros sectores regulados, especialmente en aquellos que operan con sistemas de pago. El sector financiero, por ejemplo, ha experimentado un gran avance en su proceso de transformación digital y ya está utilizando API más integradas como parte de sus modelos de negocio. La banca abierta está impulsando el uso de las API y, de ese modo, genera más riesgos de seguridad. Por ello, el sector financiero está sufriendo un mayor número de ataques centrados en las API.  (Obtenga más información sobre las tendencias de ataque en el reciente informe sobre el estado de Internet (SOTI) de Akamai, Al acecho en las sombras: las tendencias de ataque ponen de relieve las amenazas a las API).

Al examinar más detenidamente los datos de los ataques a la API de las aseguradoras, los investigadores de Akamai han observado fluctuaciones en la actividad a lo largo del año, pero sobre todo con una base trimestral. Este hecho puede deberse a sincronizar los sistemas al final de cada trimestre para conciliar los datos previstos y los reales.

Sin embargo, es probable que el aumento de actividad observado por los investigadores de Akamai a principios del cuarto trimestre del 2023 y el aumento general de la actividad durante ese periodo puedan atribuirse a atacantes cuyos objetivos sean los periodos de inscripción abierta para interrumpir las operaciones (Figura).

Ataques a API mensuales: aseguradora Durante el 2023, los ataques web a las API experimentaron una tendencia al alza en cada trimestre, con un aumento global en el último trimestre del año

El panorama normativo requiere cada vez un número mayor de API

La promesa de unos mejores resultados financieros y clínicos mediante el intercambio de datos y la necesidad de cumplir los requisitos normativos que exige dicho intercambio van de la mano. Lo importante es entender estos dos aspectos (y la optimización de ambos). 

El avance hacia una atención sanitaria basada en el valor (VBC), un enfoque longitudinal que recompensa los resultados sanitarios por encima del volumen de citas, es un ejemplo excelente de la cantidad y la variedad de información que es necesario compartir hoy en día. Las aseguradoras han tenido acceso durante mucho tiempo a datos financieros de pacientes y proveedores. Sin embargo, un número superior de puntos de datos de la VBC, como el cumplimiento de la medicación y los ingresos hospitalarios, requieren un proceso continuo que no es solo más innovador, sino también más interoperable, y este precisa un medio para compartir estos datos. Las API son el vehículo. 

En la actualidad, no existe ninguna normativa que aborde de forma específica el uso o la seguridad de las API, pero hay una serie de normativas que incluyen requisitos de API, como el Reglamento General de Protección de Datos (RGPD), la segunda Directiva sobre Servicios de Pago de la Unión Europea (PSD2) y la norma de seguridad de datos del sector de las tarjetas de pago (PCI DSS).  

Los requisitos de API evolucionan rápidamente. En particular, el PCI DSS v4.0 de marzo de 2024 incluye nuevos estándares sobre el uso de las API en el desarrollo y el mantenimiento de sistemas y del software para reducir el riesgo de que se vean comprometidos. 

Además, una nueva regla de interoperabilidad y autorización previa de CMS exige que las aseguradoras mantengan tres categorías principales de API.

  1. API de acceso del paciente: potenciará el acceso de los miembros a sus propios datos médicos y probablemente aumentará la satisfacción de los miembros

  2. API de directorio de proveedores: permite a los miembros buscar proveedores de atención sanitaria e instalaciones en función de su ubicación y especialidad médica, lo cual mejora el acceso a la atención sanitaria

  3. API aseguradora-proveedor y API aseguradora-aseguradora: pueden ayudar a solucionar y minimizar las deficiencias en la atención al paciente y, posiblemente, reducir los servicios duplicados y costosos

El objetivo más importante es reducir las costosas cargas administrativas, especialmente el procesamiento manual de autorizaciones previas, que puede implicar que los pacientes tengan que esperar a que su compañía de seguros apruebe determinados procedimientos médicos para que puedan llevarse a cabo. Los retrasos pueden tener un impacto médico negativo (y generalmente costoso). 


La complejidad administrativa, incluidos los procesos de autorización previa, suponen un coste para el sector sanitario de EE. UU. de 265,6 mil millones de dólares al año".


Un mejor rendimiento puede traducirse en un mayor riesgo

El rendimiento se está convirtiendo en una preocupación cada vez mayor, ya que los pacientes esperan el mismo nivel de experiencia de usuario en todas sus aplicaciones.  Esto implica que el ecosistema sanitario debe estar protegido contra ataques de denegación de servicio y ataques de uso indebido.  

Aunque el elevado uso de las API por parte de las aseguradoras ofrece enormes beneficios, también presenta riesgos. La proliferación de las API puede causar una falta de visibilidad que se vuelve más turbia a medida que se amplía la superficie de ataque. Las API suelen formar parte de proyectos de transformación digital complejos, por lo que puede que no estén en el radar de las organizaciones sanitarias, y mucho menos los programas de seguridad. (No obstante, existen algunos estándares de referencia importantes, como los 10 principales riesgos de seguridad de las API según OWASP). 

Además de los desafíos a los que se enfrentan las aseguradoras, los tipos de datos, tanto médicos como financieros, implicados en las actividades empresariales diarias están muy regulados y pueden ser objeto de ataque por parte de los ciberdelincuentes.

Defensa del ecosistema con visibilidad

La seguridad de las API es más importante que nunca desde el punto de vista de la gestión de riesgos y el cumplimiento de las normativas. Sin embargo, debido a la proliferación de API, resulta cada vez más complejo identificar, catalogar y proteger las API del sector de la atención sanitaria.

Cuatro objetivos estratégicos

La adopción de un programa de seguridad de API sólido le ayuda a mejorar la visibilidad de todas sus API y a comprender su exposición al riesgo para que pueda incrementar la protección. A continuación se muestran los cuatro objetivos estratégicos para un programa de seguridad de API sólido.

  1. Elimine los puntos ciegos de la infraestructura mediante la detección sistemática de las API no autorizadas o en la sombra, y asegúrese de que cada una de ellas se retira o se incorpora en los controles de seguridad de las API.

  2. Determine y refuerce la estrategia ante los riesgos mediante el análisis de tipos de alertas comunes y la corrección de defectos en el código de API, la solución de problemas de configuración incorrecta y la implementación de procesos para evitar futuras vulnerabilidades basándose en las lecciones aprendidas.

  3. Agudice la detección de amenazas y la respuesta mediante la comprensión del comportamiento normal y la identificación de posibles abusos según los picos de las alertas de seguridad de API. Posteriormente, incorpore procedimientos de respuesta bien definidos para reducir el volumen de riesgos y alertas a niveles normales.

  4. Desarrolle una ofensiva más intensa estableciendo una disciplina formal de búsqueda de amenazas a las API con el objetivo de identificar posibles amenazas antes de que se conviertan en un escenario reactivo.

Ahora es el momento de actuar

La transformación nunca se detendrá, pero ahora es el momento de controlar las API. Las organizaciones de asistencia sanitaria resilientes requieren capacidades para proporcionar un conocimiento de la situación, facilitar las investigaciones y ejecutar una respuesta rápida.

Más información

Obtenga más información acerca de cómo colabora Akamai con organizaciones de atención sanitaria y ciencias de la vida para mejorar sus programas de seguridad.



Primer plano de Carley Thornell

escrito por

Carley Thornell

April 08, 2024

Primer plano de Carley Thornell

escrito por

Carley Thornell

Carley Thornell es la estratega de Marketing del Sector para las ciencias de la salud y de la vida en Akamai. Cuenta con una amplia experiencia en liderazgo intelectual en el ámbito de la tecnología, como la dirección del equipo de investigación y estrategia de contenidos en uno de los sistemas de registros sanitarios electrónicos más importantes del país.