Vulnerabilidades: desde bombas de insulina a marcapasos | 20 ENE 20

¿Podrían piratearse los dispositivos médicos implantados?

Se han encontrado fallas de seguridad en varios dispositivos implantables que podrían permitir cambiar su funcionamiento
4
6
Autor/a: Jo Best, freelance writer Fuente: BMJ 2020; 368 doi: https://doi.org/10.1136/bmj.m102 Could implanted medical devices be hacked?

"Muchos dispositivos implantables, probablemente prácticamente todos, tienen algún tipo de vulnerabilidad de seguridad o vulnerabilidad potencial, o no han sido diseñados teniendo en cuenta la seguridad", dice Bill Aerts, director ejecutivo del Centro de Seguridad de Dispositivos Médicos Archimedes de la Universidad de Michigan.

"Lo que los hace potencialmente vulnerables es que tienen que comunicarse con sistemas externos al cuerpo".

Se está implantando un número creciente de dispositivos electrónicos en los pacientes, y es cada vez más probable que incluyan algún tipo de conectividad inalámbrica. Los dispositivos se comunican no solo con los sistemas hospitalarios, por lo que los médicos pueden actualizarlos de forma remota y recopilar datos sobre las condiciones de los pacientes, sino también con productos electrónicos de consumo, como teléfonos inteligentes, para que los pacientes puedan controlar su progreso.

Estos dispositivos conectados podrían traer riesgos de seguridad que ponen a los pacientes en riesgo, al menos en teoría. Hasta ahora, a pesar de varias alertas de advertencia de vulnerabilidades en los dispositivos médicos, no ha habido ataques en el mundo real y no se sabe que los pacientes hayan sufrido daños.

Vulnerabilidades

Se han encontrado fallas de seguridad en varios dispositivos implantables que podrían permitir cambiar su funcionamiento, por ejemplo, aumentando o disminuyendo el flujo de insulina desde una bomba de insulina o ajustando el ritmo en un marcapasos.

La amenaza, aunque teórica, se consideró grave incluso en 2013, cuando el ex vicepresidente de los Estados Unidos, Dick Cheney, apagó la conectividad inalámbrica en su marcapasos por temor a que pudiera ser pirateado y poner en riesgo su vida.

El año pasado, la Administración de Alimentos y Medicamentos de EE. UU. advirtió a los usuarios de desfibriladores automáticos implantables Medtronic que se había encontrado una falla en varios dispositivos que podría haber permitido que una persona no autorizada los acceda y manipule. Una alerta similar de la FDA en 2017 involucró a varios marcapasos fabricados por St Jude Medical, ahora parte de Abbott (recuadro). La falla de seguridad se solucionó con una actualización de software, pero los pacientes tuvieron que hacer una cita con su médico para que la instalaran.

Los investigadores de seguridad ya han demostrado en principio que los dispositivos médicos implantables podrían ser secuestrados y los pacientes amenazados de varias maneras. Por ejemplo, los investigadores han demostrado cómo el software malicioso se puede poner en un marcapasos de forma remota, lo que hace que retenga los choques necesarios o los innecesarios. a sistemas externos.

Al interferir con estas comunicaciones inalámbricas, los piratas informáticos pueden enviar comandos no autorizados a los dispositivos. Los investigadores suelen alertar a los fabricantes sobre cualquier falla que descubran, lo que permite a las empresas solucionar los problemas antes de que los hackers puedan usarlos.

Desafíos de seguridad

Asegurar dispositivos implantables plantea desafíos particulares. Por lo general, tienen poca memoria y potencia informática, lo que puede limitar las funciones de seguridad. A menudo permanecen in situ durante varios años, y la tecnología más antigua puede ser susceptible a los nuevos tipos de ataque. El cifrado para proteger las comunicaciones hacia y desde el dispositivo contra la intercepción a menudo está ausente porque puede acortar la vida útil de la batería. Los dispositivos también suelen carecer de mecanismos para autenticar que los cambios están siendo realizados por un clínico y no por alguien con malas intenciones.

"Hay un problema de seguridad con los dispositivos implantables, y se ha demostrado en varios casos. Pero es difícil cuantificar cuán grande es porque, para los piratas informáticos, es difícil ganar dinero con esto. Realmente no vale la pena para ellos ", dijo Kevin Curran, profesor de ciberseguridad en la Universidad de Ulster, a The BMJ.

Los modelos tradicionales que usan los delincuentes para ganar dinero con las vulnerabilidades de seguridad no funcionan con dispositivos médicos implantados, dice. Los escritores de malware buscarán ganar dinero con su trabajo de dos maneras principales: cobrarles a las víctimas del ransomware dinero para desbloquear sus archivos cifrados, o infectar computadoras y usarlas para extraer criptomonedas que luego pueden vender.

Los dispositivos médicos tienden a no tener suficiente poder de procesamiento para extraer criptomonedas, y hacer demandas de ransomware no es práctico en los dispositivos implantables debido a las limitaciones de su diseño (a menudo no tienen pantalla y poca memoria integrada) y porque ejecutan sistemas operativos propietarios. "Es difícil ver cómo esto se convierte en un ejercicio de hacer dinero a gran escala", agrega Curran.

Hay otras razones por las que los ciberdelincuentes pueden posponerse para atacar dispositivos implantables. Por ejemplo, con varios defectos de seguridad que se han hecho públicos, el pirata informático necesitaría estar muy cerca del paciente para realizar cambios en el dispositivo, lo que hace que el pirateo no sea práctico.

No obstante, los fabricantes de dispositivos médicos están poniendo más énfasis en la seguridad. Jake Leach, director de tecnología de Dexcom, que fabrica monitores continuos de glucosa, le dice a The BMJ: “A medida que las tecnologías cambian, también lo hacen los piratas informáticos que intentan romperlas. Es obligatorio que establezca mejores funciones de seguridad. Siempre está mejorando su seguridad ". Sin embargo, a diferencia de los fabricantes de muchos otros tipos de tecnología, las compañías de dispositivos médicos se han mantenido en silencio sobre los detalles de los cambios de seguridad dentro de su hardware. Aunque esto puede estar destinado a evitar que los posibles ciberdelincuentes obtengan una idea de cómo funcionan dichos dispositivos, también hace que sea más difícil para los médicos y otras personas obtener una visión real de las fortalezas y debilidades de la seguridad de los dispositivos.

La industria ahora es más consciente de la necesidad de cifrado y verificación en dispositivos implantables para evitar que los hackers aprovechen las vulnerabilidades en las comunicaciones inalámbricas. Sin embargo, los ataques a dispositivos implantables siempre son una posibilidad, ya sea que los piratas informáticos lo intenten o no. El equipo médico no era el objetivo previsto del ataque WannaCry 2017, pero de todos modos se vio afectado. El ransomware desactivó las computadoras del hospital que ejecutan versiones anteriores sin parches del sistema operativo Windows. Sin embargo, el equipo médico en la misma red que las computadoras afectadas se convirtió en daño colateral y el software malicioso también inadvertidamente dejó de actuar.

Riesgo creciente y toma de conciencia

Es poco probable que pase demasiado tiempo antes de que los médicos tengan que responder las preguntas de los pacientes sobre la seguridad del dispositivo. Según Rohin Francis, cardiólogo del University College London con interés en la tecnología, las personas ya conocen la seguridad que rodea a los dispositivos implantables, pero evaluar el riesgo sigue siendo un desafío.

"Veremos más pánico y más conversaciones entre pacientes y médicos sobre los peligros de los dispositivos implantables", dice. "Habrá muchas personas que alarman el miedo, y también muchas otras personas que minimizan el riesgo". Será muy difícil para los pacientes o los médicos realmente descubrir cuál es la realidad ".

Hablar con pacientes con autoridad puede ser un desafío para los médicos. Según un análisis publicado el año pasado, solo el 2% de los resúmenes de productos para dispositivos médicos implantables regulados por la FDA incluían información sobre ciberseguridad. Los autores del estudio dijeron que esto "es una preocupación porque evita que tanto los pacientes como los médicos tomen decisiones plenamente informadas sobre los riesgos potenciales asociados con los productos que usan".

La FDA ha publicado guías previas y posteriores a la comercialización sobre la seguridad de los dispositivos implantables. Esto establece que la responsabilidad de mantener la seguridad del dispositivo se comparte entre los fabricantes de dispositivos, los proveedores de atención médica y los pacientes. También destaca que la ciberseguridad debe incluirse en el diseño y desarrollo de hardware médico implantable y que los fabricantes deben tener programas de gestión de riesgos que establezcan cómo deben corregir las vulnerabilidades recientemente descubiertas antes de que puedan ser explotadas.

En Europa, la nueva regulación de dispositivos médicos que entrará en vigencia en mayo de 2020 afectará a los dispositivos implantables. La regulación establece que cualquier dispositivo que use software deberá fabricarse "de acuerdo con el estado de la técnica" en torno a ciertos elementos de seguridad, y los fabricantes de hardware deberán establecer estándares mínimos de seguridad, incluida la prevención de usuarios no autorizados de secuestrar dispositivos.

En el Reino Unido, un código de conducta para la tecnología de la salud y la atención basada en datos, actualizado en 2019, también establece 10 principios que deberían regir la tecnología de la salud, incluidos los fabricantes que hacen que la "seguridad sea integral para el diseño".

Los médicos que consideran los riesgos de seguridad de diferentes dispositivos enfrentan otro desafío: la seguridad de los dispositivos es un área de investigación relativamente nueva, y pocos estudios comparan la seguridad de los dispositivos implantables.

Los médicos "no son programadores", dice Francis. "Somos las personas equivocadas para descubrir cuáles son los riesgos. Necesitamos un buen liderazgo de la industria de dispositivos y los reguladores de dispositivos ”.

Educación del paciente

Según Aerts, la educación del paciente sobre la ciberseguridad del dispositivo debe "integrarse en toda la cadena de soporte, por ejemplo, enfermeras y médicos que ayudan a proporcionar y mantener los dispositivos.

"Además, podría haber más educación y conciencia pública, cosas que se pueden hacer a escala nacional", dice. "Eso no significa que la primera persona con la que el paciente querrá hablar no será el médico, o que el médico no debería tener un conocimiento superficial, pero la carga no debería recaer en el médico.

"El público necesita ser educado acerca de la seguridad, y necesitamos tener recursos disponibles para responder preguntas y proporcionar educación y capacitación no solo a los pacientes sino también a los médicos, hospitales, clínicas y todas las personas que trabajan en la atención médica".

Vulnerabilidad de marcapasos

En agosto de 2017, la FDA anunció que 465.000 marcapasos fabricados por Abbott estaban sujetos a una falla de seguridad. Los marcapasos eran de seis marcas que Abbott había adquirido cuando compró la compañía de dispositivos médicos St Jude Medical a principios de ese año.

La falla podría haber permitido que usuarios no autorizados, es decir, personas que no sean el médico del paciente, envíen comandos al marcapasos, haciendo que su batería se agote o emita lo que la FDA describió como "estimulación inapropiada".

Abbott emitió una actualización del software de los marcapasos que redujo el riesgo de que se explote la falla, al obligar a cualquier dispositivo que intente cambiar la programación para demostrar que tenía permiso para hacerlo.

Los pacientes que querían tener el firmware instalado tuvieron que visitar a su médico para actualizar su marcapasos. La actualización tomó alrededor de tres minutos, tiempo durante el cual el marcapasos tuvo que permanecer en modo de respaldo, con un ritmo de 67 latidos por minuto. La FDA informó que existía un riesgo muy pequeño (0.003%) de que el dispositivo dejara de funcionar después de la actualización del software o que las configuraciones programadas del dispositivo pudieran perderse.

La investigación encontró que de los pacientes que tenían una visita a la clínica programada después de que la actualización del software estuviera disponible, solo el 25% eligió instalarla. Los hombres más jóvenes tenían más probabilidades de elegir instalar el parche, al igual que aquellos con dispositivos más nuevos. El análisis establece que "la mayoría de los pacientes y médicos afectados por un retiro de ciberseguridad eligieron no solucionar el problema del software que dejaba el dispositivo vulnerable y seguir usando su marcapasos de todos modos".

 

Comentarios

Usted debe ingresar al sitio con su cuenta de usuario IntraMed para ver los comentarios de sus colegas o para expresar su opinión. Si ya tiene una cuenta IntraMed o desea registrase, ingrese aquí

AAIP RNBD
Términos y condiciones de uso | Todos los derechos reservados | Copyright 1997-2020