El sector de la salud no es ajeno a la digitalización y a la hiperconectividad como tampoco lo es a los peligros a los que se enfrentan los nuevos sistemas y dispositivos conectados, que hacen cuestionarse si es posible 'hackear' un corazón humano.
Existe una tendencia clara en la industria de la salud hacia la digitalización y la hiperconectividad que promete interesantes beneficios para pacientes y médicos por igual. Por ejemplo, en vez de tener que desplazarse los primeros a sus respectivos centros de salud, algunas tareas y chequeos rutinarios se pueden realizar en remoto, con la máxima comodidad para el paciente y con un importante ahorro de tiempo para todas las partes implicadas.
Obligados a incorporar la ‘seguridad por diseño’
Sin embargo, como recuerdan desde G DATA, algunos de los sistemas empleados en estas tareas podrían no ser lo suficientemente seguros. Las brechas de seguridad en dispositivos médicos obligan a incorporar la 'security by design' (seguridad por diseño) en este tipo de equipos.
G DATA comparte uno de los casos examinados sobre los riesgos que plantea la conectividad. Éste se conoció en agosto de 2016, cuando un grupo de investigadores de seguridad descubrió una vulnerabilidad en un marcapasos fabricado por uno de los principales proveedores del mundo de desfibriladores, marcapasos y otros equipos médicos.
Estos investigadores comprobaron que los transmisores utilizados en un determinado modelo sufrían una vulnerabilidad que permitía chequear el estado del marcapasos y su configuración de forma remota, con el único requisito de que el paciente se encontrara físicamente en el radio de acción de dicho transmisor, explican desde la compañía de seguridad.
El fabricante del dispositivo lanzó una actualización de software para solucionar la mencionada brecha y la Administración americana de alimentos y medicamentos (FDA) publicó una nota para informar a los pacientes y los médicos de los pasos necesarios para actualizar el software.
Desde G DATA entienden que hay mucho en juego: la reputación de un fabricante puede sufrir daños importantes si se suceden estos fallos de seguridad en sus productos. Y ya se sabe que los intereses financieros van de la mano de esta reputación. Pero mucho más importante es la vida de los pacientes que confían en estos dispositivos para sobrevivir, en el sentido literal de la palabra.
Prevenir vulnerabilidades no es fácil
Aunque sería fácil señalar las deficiencias de cualquier fabricante, hay que tener en cuenta que cualquier nuevo hardware o software usado en el sector salud tiene que someterse a pruebas rigurosas y necesita ser certificado antes de ser comercializado. Los criterios serán además más estrictos en función del papel que desempeñen estos dispositivos en la supervivencia de un paciente.
Este proceso de certificación puede llevar años y ser muy costoso para los fabricantes. Hardware y software médico tienen además opciones muy limitadas cuando hablamos actualizaciones. A menudo estas actualizaciones y parches de seguridad para los dispositivos médicos son escasos y poco regulares, en el supuesto de que los haya.
Con la llegada de ransomware surge una posibilidad peligrosa: la amenaza real de que alguien sea capaz de extorsionar a los pacientes o a los centros de salud con la posibilidad de desactivar los sistemas vitales para los enfermos. Para hacer frente a este desafío, fabricantes e investigadores de seguridad no tienen más opción que mantener una estrecha colaboración y actuar de forma muy responsable cuando hablamos de revelar información, asegurando que ninguna vida se pone en riesgo como consecuencia de una vulnerabilidad en el software.
Cada nuevo producto o dispositivo médico, por sencillo que sea, necesita de un cuidadoso proceso de evaluación capaz de establecer si sus utilidades son mayores que los riesgos de una conexión en línea. Además, los procesos de certificación deben acelerarse considerablemente pues la seguridad TI ha alcanzado la velocidad de crucero necesaria.
Por tanto, es de importancia crítica para la seguridad del paciente que los dispositivos médicos se apunten a la seguridad 'by design', es decir, esa seguridad que forma parte de la esencia del dispositivo y que está presente desde el momento en que era solo un concepto, tan importante como la propia función que realiza y por la que ha sido diseñado.
Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.