Para controlar sus niveles de azúcar, los pacientes diabéticos dependen de bombas de insulina. Pero los investigadores de QED Security Solutions encontraron una vulnerabilidad que les permitía controlar de forma remota una línea de bombas digitales. [I] Con solo pulsar unos pocos botones en su aplicación para Android, los investigadores podían dar a los usuarios de las bombas una sobredosis letal de insulina a distancia.
Afortunadamente, estos investigadores no tenían como objetivo matar a nadie. Querían hacer un comentario a la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) sobre la ciberseguridad de los dispositivos médicos, y así lo hicieron. Una semana después de la demostración de los investigadores ante la FDA, el fabricante del dispositivo retiró el producto del mercado.
Pero este incidente muestra cómo la llegada de los dispositivos médicos inteligentes abre un nuevo y aterrador ámbito de riesgos y regulaciones. ¿Cómo pueden los fabricantes de dispositivos mantenerse actualizados, cumplir con las normas cambiantes y proteger a sus clientes?
¿Cómo debemos asegurar la “Internet de los cuerpos”?
El “Internet de las cosas” no es algo nuevo: al hacer que nuestros dispositivos sean “inteligentes” y conectarlos entre sí, la vida cotidiana y el trabajo se vuelven más fáciles y precisos. Pero cuando se trata de dispositivos médicos, esa conectividad plantea nuevas preguntas sobre privacidad, seguridad y protección.
Andrea Matwyshyn, profesora de Derecho de la Universidad Estatal de Pensilvania, llama a este nuevo fenómeno “Internet de los cuerpos” y advierte que “por primera vez, nuestra seguridad física, nuestra autonomía y nuestro bienestar pueden verse perjudicados (e inevitablemente lo estarán) debido a software defectuoso o fallas en la seguridad”. [ii]*
Los sistemas ciberfísicos que interactúan directamente con los cuerpos de los pacientes son el riesgo más claro. La “aplicación asesina” de QED Security Solutions, dirigida a dispositivos médicos de uso doméstico, es sólo un ejemplo de ello. Pero incluso más que esos dispositivos externos, los dispositivos implantables como los marcapasos y los estimuladores cerebrales profundos exigen una planificación a largo plazo: retirar un implante cerebral no es tan fácil como retirar una bomba de insulina.[iii]
¿Dónde termina la seguridad? Monitoreo remoto de atención médica?
Y hay que tener en cuenta que, dependiendo de cómo se trace la línea, la “Internet de los cuerpos” también podría incluir varios dispositivos inteligentes que se puedan llevar puestos.[iv] La monitorización remota de la atención sanitaria puede no conllevar los mismos riesgos físicos, pero puede poner en peligro la privacidad de los usuarios. El ejército de Estados Unidos aprendió esto por las malas cuando un estudiante australiano de 20 años señaló que se podían ver claramente las rutinas diarias de los soldados en las bases militares de Afganistán… gracias a la aplicación de fitness Strava.[v]
Técnicamente, la UE y la FDA no consideran los dispositivos de fitness como dispositivos médicos (aunque sí existen dispositivos médicos ponibles). Pero, como señala Matwyshyn, la monitorización remota de la atención sanitaria tiene zonas grises en materia de normativas; plantea el ejemplo hipotético de una pastilla inteligente que actúa como rastreador del sueño. ¿Dispositivo de fitness o dispositivo médico? La respuesta podría decidir a qué organismo regulador pertenece.
¿Dónde se sitúan la UE, los EE. UU. y otros países? Ciberseguridad de dispositivos médicos?
El rápido desarrollo y la gran diversidad de los dispositivos médicos inteligentes significa que los reguladores aún están tratando de averiguar cómo gestionarlos. Si bien ya existen algunas normas internacionales, los países también están utilizando sus propios marcos, que a menudo abarcan a varias agencias.
Normas internacionales: La Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC) han desarrollado la serie de normas ISO/IEC 80001, que cubren la “aplicación de la gestión de riesgos para redes de TI que incorporan dispositivos médicos”. [vi] Estas normas técnicas voluntarias proporcionan una descripción general integral de los riesgos asociados con la conectividad de dispositivos médicos, con la que las organizaciones de prestación de servicios de salud (HDO) y los fabricantes de dispositivos médicos (MDM) pueden comparar dispositivos y sistemas.
La norma ISO 14971 también ofrece un enfoque más general para la gestión de riesgos de los dispositivos médicos. Y en abril de 2020, el Foro Internacional de Reguladores de Dispositivos Médicos publicó su versión final de “Principios y prácticas para la ciberseguridad de los dispositivos médicos”.[vii]
Estados Unidos:La FDA regula las ventas de dispositivos médicos, y esto también se aplica a la ciberseguridad.[viii] Las regulaciones federales requieren que los MDM aborden la ciberseguridad junto con otros riesgos, y la FDA ha emitido varios conjuntos de pautas que describen cómo abordar las preocupaciones relacionadas con la ciberseguridad.[ix] La guía final previa a la comercialización se publicó en 2014, y la guía final posterior a la comercialización en 2016, pero las actualizaciones han continuado.
Dicho esto, la FDA no es la única agencia del gobierno de Estados Unidos involucrada. En cuanto a las mejores prácticas de MDM, la guía de la FDA se basa en el Marco para la mejora de la ciberseguridad de la infraestructura crítica del Instituto Nacional de Estándares y Tecnología, que no es un organismo regulador, y la Agencia de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional de Estados Unidos ayuda a estar atentos a las vulnerabilidades de los dispositivos.[x]
unión Europea:El marco regulatorio de la UE aún está evolucionando, con nuevas pautas del Grupo de Coordinación de Dispositivos Médicos de la UE en enero de 2020.[xii] Esto tiene como objetivo ayudar a los MDM a cumplir con los requisitos de dos nuevas regulaciones: el Reglamento de Dispositivos Médicos de la UE, o MDR (2017/745), y el Reglamento de Dispositivos Médicos de Diagnóstico In Vitro de la UE, o IVDR (2017/746), ambos adoptados en mayo de 2017.[xii]
Originalmente, el MDR debía entrar en vigor en mayo de 2020 y el IVDR en mayo de 2022, pero debido al Covid-19, la UE ha pospuesto la fecha de entrada en vigor del MDR hasta mayo de 2021.[xiii]
Australia:La Administración de Productos Terapéuticos de Australia (TGA), ubicada dentro de su Departamento de Salud, publicó un documento de orientación sobre ciberseguridad de dispositivos médicos para la industria en julio de 2019.[xiv] Como lo han hecho otras agencias, la TGA enmarca la ciberseguridad como parte de un proceso más amplio de gestión de riesgos, señalando la norma ISO 14971 y el marco de ciberseguridad del NIST de EE. UU. como enfoques potenciales.
Singapur:La Autoridad de Ciencias de la Salud de Singapur es responsable de examinar la ciberseguridad de los dispositivos médicos y exige un enfoque de ciclo de vida para la gestión de productos.[xv] El Consejo de Normas de Singapur ha elaborado un documento que describe la gestión de riesgos de seguridad para dispositivos médicos conectados.
Protector dispositivos médicos, protector nosotros mismos
La ciberseguridad de los dispositivos médicos es un campo complejo al que los reguladores se han adaptado con distinta velocidad. El enfoque proactivo de Estados Unidos durante la última década, por ejemplo, contrasta con el régimen regulatorio de la UE, que aún está en desarrollo.
Sin embargo, la reglamentación internacional ha convergido en general hacia un enfoque basado en el riesgo, en el que los fabricantes de dispositivos médicos deben hacer de la ciberseguridad una parte esencial de la gestión del riesgo durante la vida útil de un dispositivo. A medida que crece la Internet de los cuerpos, eso sólo puede ser positivo, porque, al fin y al cabo, proteger nuestros dispositivos médicos significará proteger nuestras propias vidas.
[I] wired.com – Estos hackers crearon una aplicación que mata para demostrar algo[ii] wdj.com – La «Internet de los cuerpos» ya está aquí. ¿Están preparados los tribunales y los organismos reguladores?
[iii] ncbi.nlm.nih.gov – Nuevos riesgos gestionados de forma inadecuada: el caso de los implantes inteligentes y la regulación de los dispositivos médicos
[iv] lexology.com – El papel de los wearables en la lucha contra el COVID-19
[v] bbc.com – La aplicación de fitness Strava ilumina al personal de las bases militares
[vi] eprints.dkit.ie – Evaluación según IEC 80001-1
[vii] imdrf.org – Principios y prácticas para la ciberseguridad de los dispositivos médicos
[viii] fda.gov – El papel de la FDA en la regulación de los dispositivos médicos
[ix] fda.gov – Ciberseguridad
[incógnita] nist.gov – Marco para mejorar la ciberseguridad de las infraestructuras críticas Versión 1.1; – healthitsecurity.com – DHS CISA: Se encontraron vulnerabilidades graves en 6 sistemas de dispositivos médicos
[xi] blogs.dlapiper.com – Europa: El MDCG de la UE publica nuevas directrices sobre ciberseguridad para dispositivos médicos
[xii] medtechdive.com – Un grupo de la UE ofrece orientación sobre cómo cumplir los estándares de ciberseguridad del MDR; – eumdr.com – Reglamento de la Unión Europea sobre dispositivos médicos de 2017
[xiii] europarl.europa.eu – El Parlamento decide posponer los nuevos requisitos para los productos sanitarios
[xiv] tga.gov.au – Guía de ciberseguridad de dispositivos médicos para la industria; emergobyul.com – La convergencia de los requisitos de ciberseguridad de los dispositivos médicos en Australia, Canadá y Estados Unidos
[xv] rsis.edu.sg – CO19204 | Atención sanitaria: una infraestructura de información crítica; – hsa.gov.sg; singaporestandardseshop.sg – Seguridad de dispositivos médicos conectados
