Fexyn
Fexyn
All posts

VPN para salud y HIPAA: qué requiere HIPAA en realidad

Fexyn Team··10 min read

La frase "VPN compatible con HIPAA" aparece por toda la industria de VPN. Es una frase sin significado. HIPAA no certifica productos. El Departamento de Salud y Servicios Humanos no emite sellos HIPAA a vendedores de software. Una VPN no puede ser "compatible con HIPAA" como una contraseña no puede ser "compatible con HIPAA".

Lo que HIPAA sí requiere es que las entidades cubiertas (y los socios comerciales) implementen salvaguardas específicas. La encriptación en tránsito es una de esas salvaguardas. Una VPN puede proveer encriptación en tránsito. Eso hace a una VPN una pieza de una postura de cumplimiento, no la cosa entera, y definitivamente no un producto mágico de cumplimiento.

La versión honesta es más útil que la versión de marketing. Acá va.

No somos abogados ni consultores de cumplimiento HIPAA. Esto es informativo. Validá tu postura de cumplimiento específica con alguien que efectivamente haga trabajo de cumplimiento HIPAA en tu jurisdicción.

Qué requiere HIPAA en realidad

La Regla de Seguridad de HIPAA (45 CFR Parte 164, Subparte C) requiere que las entidades cubiertas y los socios comerciales implementen salvaguardas para proteger Información de Salud Protegida electrónica (ePHI). Las salvaguardas se organizan en tres categorías:

  • Salvaguardas administrativas: políticas, capacitación, evaluaciones de riesgo, sanciones
  • Salvaguardas físicas: controles de acceso a instalaciones, seguridad de estaciones de trabajo, disposición de dispositivos
  • Salvaguardas técnicas: control de acceso, controles de auditoría, integridad, seguridad de transmisión

Las salvaguardas técnicas incluyen "seguridad de transmisión" (45 CFR 164.312(e)), que requiere "implementar medidas técnicas de seguridad para protegerse contra acceso no autorizado a información de salud protegida electrónica que se está transmitiendo sobre una red de comunicaciones electrónicas".

El estándar de seguridad de transmisión tiene dos especificaciones de implementación:

  • Controles de integridad (direccionable): medidas para asegurar que la ePHI no es modificada impropiamente durante la transmisión
  • Encriptación (direccionable): mecanismo para encriptar ePHI cuando se considere apropiado

"Direccionable" no significa opcional. Significa que la entidad cubierta debe evaluar si la implementación es "razonable y apropiada" para su entorno. Si sí, implementar. Si no, documentar por qué e implementar una alternativa equivalente.

Para ePHI moviéndose por redes públicas (internet), la encriptación es casi siempre razonable y apropiada. La Oficina de Derechos Civiles de HHS ha sido explícita: ePHI enviada sin encriptar por redes públicas es una violación de la Regla de Seguridad en esencialmente cada escenario plausible.

Dónde encaja una VPN

Una VPN provee encriptación en tránsito entre el dispositivo del usuario y el servidor de salida del proveedor VPN. Desde ahí, el tráfico continúa a su destino —típicamente sobre TLS, que provee su propia capa de encriptación.

Para escenarios ePHI, los caminos de transmisión relevantes:

  • Laptop del proveedor a sistema EHR sobre Wi-Fi público. Los sistemas EHR están encriptados con TLS. La VPN agrega una capa externa de encriptación. Ambas capas proveen protección redundante; la VPN protege contra ataques de degradación TLS y contra que el punto de acceso Wi-Fi público vea patrones de tráfico.
  • Laptop del proveedor a plataforma de telesalud. Las plataformas de telesalud están encriptadas con TLS (y muchas son end-to-end encriptadas para audio/video de la llamada). La VPN protege la señalización circundante.
  • Laptop del proveedor a email conteniendo ePHI. El email-a-servidor-de-correo está encriptado con TLS por defecto en 2026. La VPN encripta la conexión desde la laptop. La ePHI dentro del email sigue siendo legible por el proveedor de email a menos que medidas adicionales (S/MIME, archivos adjuntos encriptados) estén en su lugar.

Para trabajadores de salud viajando, trabajando desde casa o trabajando desde clínicas con redes compartidas, una VPN es una salvaguarda razonable para seguridad de transmisión.

Qué significa "VPN compatible con HIPAA" en marketing

Cuando ves esta frase, la empresa normalmente está reclamando una de:

  1. Firmarán un Acuerdo de Socio Comercial (BAA) con vos
  2. Su servicio "soporta configuraciones compatibles con HIPAA"
  3. Alguna versión menos precisa de cualquiera de estas

Un BAA es un contrato. Dice que el vendedor (el proveedor VPN) salvaguardará la ePHI que maneja y que el vendedor toma responsabilidad bajo HIPAA por brechas que involucren esa ePHI. Un BAA es requerido cuando un vendedor procesa o almacena ePHI.

Acá va la pregunta relevante: ¿tu proveedor VPN efectivamente maneja ePHI? Una VPN solo de tránsito encriptado no. El proveedor VPN ve tráfico encriptado; no lo desencripta; no lo almacena; no tiene acceso a la ePHI dentro. Desde una interpretación legal estricta, una VPN que no hace desencriptación argumentablemente no es un Socio Comercial HIPAA porque no "procesa" ePHI en el sentido regulado.

En la práctica, HHS no ha emitido guía definitiva sobre si las VPNs solo de tránsito requieren un BAA. La mayoría de los consultores de cumplimiento de salud toman una posición conservadora: conseguir un BAA donde sea posible, tratar al proveedor VPN como Socio Comercial por seguridad. Algunos proveedores VPN (Atlas VPN históricamente, NordLayer, ExpressVPN para tier de negocio) ofrecen BAAs. La mayoría de las VPNs tier consumidor no.

Fexyn actualmente no ofrece BAAs. Estamos trabajando si ofrecerlos; el overhead de cumplimiento es real y el caso técnico de si se requieren es genuinamente poco claro. Para profesionales solo de salud o pequeñas clínicas que quieren un proveedor que firme BAA como medida de cinturón-y-tiradores, el tier enfocado en HIPAA de NordLayer o una VPN-de-negocio-con-BAA similar es un mejor ajuste hoy.

Lo que una VPN no cubre para HIPAA

Una postura completa de cumplimiento HIPAA necesita todo lo siguiente. Una VPN cubre exactamente una pieza:

Encriptación en reposo. ePHI en laptops, en almacenamiento en la nube, en servidores de email, en medios de respaldo —todo necesita encriptación. Una VPN no encripta archivos en disco.

Controles de acceso y autenticación. Autenticación fuerte en EHR, email, almacenamiento en la nube. Acceso basado en roles. MFA. Una VPN no provee identidad.

Controles de auditoría. HIPAA requiere logging de acceso a ePHI. Los sistemas EHR y la gestión de documentos tienen su propia auditoría. Una VPN no provee esto.

Controles de integridad. Mecanismos para asegurar que la ePHI no es modificada impropiamente.

Email conteniendo ePHI. El email regular (incluso encriptado con TLS) no es apropiado para HIPAA para ePHI sin medidas adicionales. Usá un portal seguro de documentos o email encriptado end-to-end para ePHI.

Capacitación de la fuerza laboral. La capacitación HIPAA anual es administrativamente requerida.

Evaluación y gestión de riesgo. Evaluación documentada de riesgos plausibles y mitigaciones.

Políticas de notificación de brecha. Procedimientos escritos para qué pasa cuando algo sale mal, incluyendo el requisito de notificación de 60 días.

Acuerdos con proveedores de servicio (BAAs) con todas las entidades que manejan ePHI. Vendedores EHR, almacenamiento en la nube, servicios de facturación, servicios de transcripción todos necesitan BAAs.

Salvaguardas físicas. Oficinas con llave, archivadores con llave, disposición segura de dispositivos.

Una afirmación de marketing de "VPN compatible con HIPAA" que ignora todo esto y se enfoca en encriptación-en-tránsito te está vendiendo la pieza más chica del cumplimiento y llamándola la cosa entera.

Cómo se ve un posicionamiento honesto VPN-para-salud

Fexyn provee:

  • Encriptación AES-256-GCM y ChaCha20-Poly1305 (cifrados AEAD modernos)
  • Protocolos VPN fuertes (WireGuard vía Bolt, VLESS Reality con Vision vía Stealth)
  • Kill switch a nivel de kernel en Windows (filtros de Windows Filtering Platform que bloquean tráfico cuando la VPN cae, no manejadores de desconexión a nivel aplicación)
  • Operación sin logs en navegación, DNS y contenido de tráfico
  • Jurisdicción Wyoming (EE. UU.) con estructura sin logs como mecanismo de protección de datos (miembro de Five Eyes; todavía no completamos una auditoría de terceros sin logs, planificada para 2026)

Estas son todas características razonables de seguridad de transmisión. No constituyen cumplimiento HIPAA por sí mismas; constituyen un componente que encaja en una postura de cumplimiento por capas.

Para trabajadores de salud que quieren VPN como una capa junto al resto de una configuración consciente de HIPAA (laptops encriptadas con MFA, EHR con rastros de auditoría, portal seguro de documentos para emails de ePHI, BAAs con Socios Comerciales mayores, políticas escritas estilo WISP, capacitación anual), Fexyn es apropiado.

Para trabajadores de salud o pequeñas clínicas que quieren un solo proveedor firmando BAAs para simplificar el papeleo de cumplimiento, el tier HIPAA de NordLayer o el posicionamiento de salud de Perimeter81 son mejores ajustes hoy. Somos honestos sobre esto.

Lo que las otras empresas VPN no te dirán

La mayor parte del contenido "VPN compatible con HIPAA" en la web es colocación pagada. La estructura de marketing de afiliados de la industria VPN recompensa hacer afirmaciones de cumplimiento que suenan más fuertes de lo que el producto subyacente puede sostener. Estamos escribiendo este texto en parte porque la versión engañosa de este contenido está en todos lados, y en parte porque la versión honesta es más útil, aunque sea menos conveniente.

Si una empresa VPN te dice que es "compatible con HIPAA", preguntales:

  1. ¿Firmarán un BAA?
  2. ¿Qué cubre realmente el BAA?
  3. ¿Qué documentación pueden proveer para propósitos de auditoría HIPAA?
  4. ¿Cómo manejan citaciones y pedidos de las fuerzas del orden por datos de usuario en contexto ePHI?
  5. ¿Cuál es su proceso de respuesta a incidentes si experimentan una brecha?

Un vendedor que tiene buenas respuestas a las cinco es un socio BAA real. Un vendedor que no tiene respuestas está vendiendo copia de marketing.

Preguntas frecuentes

¿HIPAA requiere una VPN?

No literalmente. El estándar de seguridad de transmisión de HIPAA requiere encriptación "direccionable", lo que significa que la entidad cubierta debe evaluar e implementar o documentar por qué no. Para ePHI moviéndose por redes públicas, la encriptación es casi siempre requerida; una VPN es una manera de proveerla.

¿Puedo usar una VPN gratis para trabajo de salud?

Generalmente no. La postura consciente de HIPAA requiere un vendedor cuyas prácticas de manejo de datos podés verificar. Las VPNs gratis casi universalmente tienen problemas de recolección de datos que hacen su uso para trabajo adyacente a ePHI indefendible.

¿Y la telesalud específicamente?

Las plataformas de telesalud (Doxy.me, Zoom Healthcare, Healow, etc.) firman BAAs y manejan la ePHI directamente dentro de su plataforma. La VPN protege la conexión de red circundante. Usá ambas: una plataforma de telesalud consciente de HIPAA más una VPN para la capa de red circundante.

¿Debería evitar el email para ePHI?

Para enviar ePHI a pacientes, usá el portal de paciente en tu EHR. Eso está construido a propósito y con rastro de auditoría. Para comunicación interna sobre ePHI entre proveedores, mensajería segura dentro del EHR o un servicio de email seguro consciente de HIPAA. El email regular con una VPN no resuelve la pregunta del contenido del email; el contenido es legible por el proveedor de email.

¿Fexyn ofrece un BAA?

Actualmente no. Estamos evaluando. Para trabajadores de salud que específicamente necesitan una VPN que firme BAA, el tier de negocio enfocado en HIPAA de NordLayer es un mejor ajuste hoy.

¿Cuál es el cuadro real de responsabilidad para una falla de VPN durante transmisión de ePHI?

Si transmitís ePHI por Wi-Fi público sin VPN y la transmisión es interceptada, eso es una brecha HIPAA con las consecuencias estándar de notificación, reporte y potenciales penalidades. Si transmitís con una VPN funcionando correctamente, la capa de encriptación previene que la intercepción produzca ePHI legible; esto es exactamente por qué la seguridad de transmisión es un estándar de la Regla de Seguridad. Si la conexión VPN cae a mitad de transmisión y el tráfico sale sin encriptar, la pregunta del kill switch se vuelve crucial. Por esto hacemos énfasis sobre kill switches a nivel de kernel basados en WFP versus manejadores a nivel de aplicación.

Probá Fexyn gratis 7 días. Sin tarjeta para la prueba. La guía Cómo elegir una VPN cubre la decisión de compra más amplia. Kill switch explicado cubre la implementación a nivel de kernel. VPN para abogados cubre el cuadro paralelo ABA 477R para la profesión legal.

Última revisión 2026-05-09. No es asesoría legal o de cumplimiento; validá con un revisor de cumplimiento HIPAA para tu situación específica.

VPN para salud y HIPAA: qué requiere HIPAA en realidad | Fexyn VPN