Anuncio publicitario
Es posible que haya escuchado la frase "su salud es su riqueza". Es una de las razones por las que EE. UU. Gastó más de $ 3,2 billones en atención médica solo en 2015.
Con tanto dinero flotando, es natural que muchas empresas hayan entrado en el mercado de la salud, incluidas las empresas de tecnología.
La tecnología médica a veces parece anticuada, pero las empresas tienen la intención de llevar esos dispositivos al siglo XXI. Y si bien la conectividad a Internet puede parecer una gran característica, existen algunos peligros y problemas reales que podrían sorprenderlo.
¿Qué son los dispositivos médicos?
La Organización Mundial de la Salud (OMS) define un dispositivo médico como “cualquier instrumento, aparato, implemento, máquina, aparato, implante, reactivo para uso in vitro, software, material […] destinado por el fabricante a ser utilizado […] para seres humanos, para uno o más […] tratamientos médicos específicos. objetivo".
Aunque eso suena bastante complicado, solo se refiere a cualquier dispositivo o software que pueda usarse con fines médicos.
La Administración de Drogas y Alimentos de los Estados Unidos (FDA) es responsable de la supervisión regulatoria de los dispositivos médicos y los divide en tres categorías: Clase I, Clase II y Clase III. Los dispositivos de Clase 1 están ligeramente regulados, y la mayoría de los controles solo se aplican a cómo se fabrican y comercializan. La clase II agrega una regulación más específica y la clase III está reservada para dispositivos que apoyan o mantienen la vida humana.
Sin embargo, como es típico en todo el mundo, la FDA ha luchado por mantenerse al día con el ritmo de la innovación. Hay pocas referencias sobre cómo deberían regularse los dispositivos modernos conectados a Internet.
¿Qué medidas deberían adoptar los fabricantes para garantizar la seguridad de dichos dispositivos? En diciembre de 2016, la FDA publicó una guía sobre seguridad de dispositivos médicos, pero no se pueden hacer cumplir legalmente. Esto dejó a los fabricantes a decidir si seguir el consejo o no.
El Internet de las cosas (médicas)
Esto coloca a los dispositivos médicos conectados a Internet en el mismo barco que los de la categoría más amplia de Internet de las cosas (IoT). Hay muchos beneficios para los dispositivos médicos de IoT 5 formas en que Internet de las cosas está revolucionando la atención médicaEstas son algunas de las formas más interesantes (y más importantes) en las que la tecnología conectada está revolucionando el mundo médico. Lee mas , pero la falta de una regulación aplicable significa que no es probable que los fabricantes dediquen muchos recursos a asegurarlos.
Ese es solo uno de los muchas razones por las que Internet de las cosas es una pesadilla de seguridad Por qué Internet de las cosas es la mayor pesadilla de seguridadUn día, llega a casa del trabajo y descubre que su sistema de seguridad para el hogar habilitado para la nube ha sido violado. ¿Cómo pudo pasar esto? Con Internet de las cosas (IoT), puede averiguarlo por las malas. Lee mas . Además, literalmente ponemos nuestras vidas en manos de dispositivos médicos de IoT. Como tal, lo que está en juego es incluso mayor que con los dispositivos IoT normales.
La atención médica es un negocio costoso, no solo para los pacientes, sino también para los propios proveedores. Las empresas cobran grandes sumas de dinero por nuevos dispositivos y soporte técnico. Esto significa que los hospitales y otras prácticas médicas son un revoltijo de herramientas, algunas nuevas, otras antiguas con una variedad de requisitos operativos diferentes. El hardware antiguo, el software heredado y las interfaces patentadas se combinan para hacer que la protección adecuada del sistema sea una pesadilla para el departamento de TI del proveedor.
Ejemplo: escuchar a escondidas una bomba médica
La interfaz entre software y hardware a menudo expone vulnerabilidades explotables, como Saurabh Harit se presentó en Black Hat Europe 2017. Obtuvo una bomba de infusión intravenosa, que inyecta medicamentos en la sangre del paciente, que podría programarse y operarse de forma remota.
Después de acceder al modo de administrador de la bomba con una contraseña predeterminada que se encuentra en línea, pudo usar el infrarrojos y una PDA antigua comprada en eBay para importar sus credenciales de Wi-Fi a la red de la bomba ajustes.
Usando Wireshark (una de las muchas herramientas de seguridad de red de código abierto Cómo probar la seguridad de su red doméstica con herramientas de piratería gratuitasNingún sistema puede ser completamente "a prueba de piratería", pero las pruebas de seguridad del navegador y las medidas de seguridad de la red pueden hacer que su configuración sea más sólida. Utilice estas herramientas gratuitas para identificar "puntos débiles" en su red doméstica. Lee mas ) para inspeccionar los paquetes, Harit vio los datos del paciente, como la dosis del medicamento, el cuidador, el nombre, la ubicación y la ruta. Sorprendentemente, incluso pudo acceder a la Lista maestra de medicamentos que establece y mantiene la dosis prescrita.
La lista de ejemplos continúa ...
Si tales vulnerabilidades se limitaran a esta bomba, sería lo suficientemente impactante, pero los investigadores descubren regularmente nuevas. Un equipo pudo obtener acceso a un escáner de tomografía computarizada, un dispositivo que le da una pequeña dosis de radiación para crear modelos 3D del interior de su cuerpo.
En agosto de 2017, el La FDA retiró del mercado 465.000 marcapasos realizado por Abbott por preocupaciones de piratería. En lugar de obligar a casi medio millón de personas a someterse a una cirugía invasiva, Abbott emitió un parche de firmware, que el personal médico pudo aplicar al marcapasos.
En 2014, el Departamento de Seguridad Nacional (DHS) comenzó investigando 24 dispositivos por presuntas fallas críticas. Los dispositivos incluían una bomba de infusión de Hospira Inc y dispositivos cardíacos implantables de Medtronic y St Jude Medical.
Dispositivos médicos heredados y mala seguridad
Si alguna vez ha trabajado en una oficina, sabrá que muchas empresas confían en el software heredado. Esto invariablemente requiere sistemas operativos, controladores y periféricos más antiguos, lo que los hace muy inseguros. El costo suele ser un factor decisivo en la actualización y muchos deciden que no pueden justificar el gasto. Si no está roto, no lo arregles, ¿verdad?
Las empresas a menudo luchan por priorizar la ciberseguridad, con una actitud predominante de que si un ataque aún no ha ocurrido, no ocurrirá. Desafortunadamente, los proveedores de atención médica tampoco son inmunes a esta línea de pensamiento. En mayo de 2017, un ataque de ransomware apodado WannaCry El ataque global de ransomware y cómo proteger sus datosUn ciberataque masivo ha afectado a ordenadores de todo el mundo. ¿Ha sido afectado por el ransomware autorreplicante altamente virulento? Si no es así, ¿cómo puede proteger sus datos sin pagar el rescate? Lee mas , casi simultáneamente infectó 300,000 computadoras, muchas pertenecientes al Servicio Nacional de Salud (NHS) del Reino Unido.
El ransomware afectó a más de 40 NHS Trusts en todo el país, reduciendo la atención al paciente, cerrando cirugías e incluso cerrando hospitales. Los efectos del ataque pusieron a los pacientes en riesgo y también socavaron potencialmente la seguridad de sus datos. Lamentablemente, Microsoft lanzó un parche un mes antes del ataque, que habría impedido que WannaCry se afianzara. No solo no se implementó la actualización, sino que resultó que muchas computadoras seguían ejecutando Windows XP.
Este es a pesar de que el soporte extendido para el sistema operativo de 15 años ha terminado dos años antes del ataque.
El futuro de los dispositivos médicos me asusta
La tecnología continúa ofrecer avances significativos en el tratamiento médico 8 avances en tecnología médica que quizás necesite algún díaLo crea o no, la velocidad de los avances tecnológicos sigue aumentando, y se están produciendo muchos avances en el campo de la medicina. ¡Mira estas increíbles cosas nuevas! Lee mas , pero no es la salvación del sector médico como descubrió el NHS del Reino Unido. Según el Secretario de Salud del Gobierno, Jeremy Hunt, hasta 270 mujeres pueden haber muerto después de que un "error de algoritmo informático" no invitara a 450.000 mujeres a la detección periódica del cáncer de mama.
A diferencia de muchas otras áreas afectadas por el avance de la tecnología, los dispositivos médicos pueden ser una cuestión de vida o muerte. Dado que la ley de Moore permite que más dispositivos se conecten en línea en los próximos años, los fabricantes deben priorizar la seguridad. Después de todo, no sirve de nada diseñar una "función excelente" si resulta ser una descripción devastadoramente precisa.
James es el editor de noticias de hardware y guías de compra de MakeUseOf y escritor independiente apasionado por hacer que la tecnología sea accesible y segura para todos. Junto a la tecnología, también le interesan la salud, los viajes, la música y la salud mental. Licenciada en Ingeniería Mecánica por la Universidad de Surrey. También se puede encontrar escribiendo sobre enfermedades crónicas en PoTS Jots.