Los dispositivos médicos, incluidos los dispositivos electrónicos cardiovasculares implantables, podrían estar en riesgo de la piratería moderna conocida como hackeo. En una publicación en la Revista del Colegio Americano de Cardiología, el Consejo de Electrofisiología del Colegio Estadounidense de Cardiología. Examina el riesgo potencial para los pacientes, y describe cómo mejorar la ciberseguridad en estos dispositivos cardíacos y evitar que sean hackeados.
La ciberseguridad en el campo médico se refiere a la integración de dispositivos médicos, redes de computadoras y software. Si bien no ha habido informes clínicos reales de piratería maliciosa, inadvertida o ataques de malware que afecten a dispositivos cardíacos. Informes recientes han descubierto esta posibilidad.
Las razones para hackear incluyen, motivos políticos, financieros, sociales y personales. Los dispositivos pueden ser pirateados local o remotamente. La Administración de Alimentos y Fármacos (FDA, por sus siglas en inglés) ha emitido orientaciones previas y posteriores al mercado para la seguridad de los dispositivos cardíacos y médicos. Las propuestas legislativas relacionadas con la seguridad de los dispositivos médicos han avanzado en el Congreso de los EE. UU.
Los dispositivos médicos son objetos del hackeo
«La verdadera seguridad cibernética comienza cuando se diseña un software protegido desde el principio, y requiere la integración de múltiples partes interesadas, incluidos expertos en software, expertos en seguridad y asesores médicos», dijo Dhanunjaya R. Lakkireddy MD. Profesor de medicina en el Hospital de la Universidad de Kansas. Él también es miembro del Consejo de Electrofisiología y el autor correspondiente del artículo.
Los dispositivos médicos han sido objeto de piratería moderna durante más de una década. El número cada vez mayor de dispositivos médicos que usan software ha creado la necesidad de proteger los dispositivos contra la interferencia dañina intencional en su funcionamiento normal.
Las comunicaciones inalámbricas avanzadas entre los proveedores de atención médica y los dispositivos de los pacientes han creado la posibilidad teórica de desactivar las funciones, alterar la programación y retrasar, interferir o interrumpir las comunicaciones.
Muchos factores de riesgo que es importante tomar en cuenta
Hay una serie de posibles consecuencias clínicas que pueden resultar de la piratería de un dispositivo cardíaco. En pacientes con marcapasos, las preocupaciones consisten principalmente en sobredetección o agotamiento de la batería.
Para los pacientes con desfibriladores cardioversores implantables (ICD), es posible que los hackers interrumpan las comunicaciones inalámbricas. Esto lo inhibe al valor de la telemonitorización y permite que el sistema no detecte ningún evento clínicamente relevante. La sobredetección puede inhibir la estimulación o dar lugar a descargas inapropiadas o potencialmente mortales. El agotamiento de la batería puede hacer que un dispositivo no pueda administrar terapias durante arritmias potencialmente mortales.
«En este momento, no hay evidencia de que uno pueda reprogramar un dispositivo electrónico cardiovascular implantable o cambiar la configuración del dispositivo en cualquier forma», dijo Lakkireddy. «La probabilidad de que un pirata informático individual afecte con éxito a un dispositivo electrónico implantable cardiovascular es muy baja. Así también sea capaz de dirigirse a un paciente específico. Un escenario más probable es un ataque de malware o ransomware que afecte la red de un hospital e impida la comunicación».
Los médicos deben conocer los riesgos
El consejo dijo que las necesidades de ciberseguridad también deberían abordarse durante las pruebas de productos, tanto antes, como después del mercado. Debido a que las vulnerabilidades cibernéticas pueden surgir rápidamente. Se deben implementar procesos sólidos de post-mercado para monitorear el entorno en busca de nuevas vulnerabilidades y responder de manera oportuna.
El consejo sugiere que el firmware puede ser útil en dispositivos con posibles vulnerabilidades. Los médicos que manejan dispositivos cardíacos deben conocer los riesgos documentados y posibles de ciberseguridad. Deben establecerse sistemas para comunicar las actualizaciones en estas áreas de forma rápida y comprensible. Para que el resto del equipo clínico que administra pacientes con dispositivos.
«Dada la falta de evidencia de que el hackeo de dispositivos cardíacos es un problema clínico relevante, junto con la evidencia de los beneficios de la monitorización remota. Se debe tener precaución al privar al paciente de los claros beneficios del monitoreo remoto», dijo Lakkireddy.