Amenazas a la ciberseguridad en el sector de los dispositivos médicos

A medida que la tecnología evoluciona rápidamente, la ciberseguridad se ha convertido en algo indispensable en muchos sectores. Ante la creciente amenaza de los ciberataques en el sector sanitario, el Congreso de los Estados Unidos se ve presionado para tomar medidas. A medida que diversos dispositivos médicos —bombas de infusión, equipos de resonancia magnética, monitores de frecuencia cardíaca— avanzan hacia la conectividad con redes digitales, se vuelven cada vez más vulnerables a los riesgos cibernéticos.

Aumentan los riesgos de ciberseguridad

Hay varios factores que contribuyen al aumento de las amenazas a la ciberseguridad de los dispositivos médicos. El más evidente es la creciente conectividad en el sector médico. Cada vez más, los dispositivos médicos se diseñan para conectarse a Internet y a otras redes digitales. Aunque estos avances tecnológicos tienen numerosas ventajas, exponen al software —y, con él, a los datos de los pacientes— a una gran cantidad de riesgos. Los hackers pueden aprovechar las vulnerabilidades del software o de las conexiones de red para acceder a datos confidenciales, o incluso hacerse con el control del propio dispositivo. En estos casos, las retiradas de productos pueden ser especialmente peligrosas para la vida de los pacientes, ya que no es posible seguir utilizando el dispositivo.

También hay que tener en cuenta el concepto de corrección. En ocasiones, los dispositivos conectados pueden repararse mediante un parche de software inalámbrico. Dada la naturaleza de algunos dispositivos y su importancia crítica para la salud de los pacientes, ni un parche de software ni una retirada del mercado son soluciones sencillas. También hay que tener en cuenta los equipos y aparatos de gran potencia instalados en hospitales y centros médicos que no pueden retirarse fácilmente de su ubicación física; escáneres de resonancia magnética, máquinas de rayos X y ecógrafos, por nombrar solo algunos. A medida que estos dispositivos se conectan cada vez más a las redes hospitalarias, también se vuelven vulnerables a las amenazas cibernéticas. Cuando no es posible repararlos de forma remota con un parche de software, suele ser necesario enviar a un ingeniero de campo para que inspeccione, diagnostique y repare in situ.

La posibilidad de una retirada del mercado no depende únicamente de que se produzca un incidente concreto, sino también de la vulnerabilidad ante los ciberataques. Las pruebas preventivas de vulnerabilidad desempeñan un papel fundamental a la hora de identificar los puntos débiles en la estructura de seguridad de estos dispositivos, lo que ayuda a mitigar la aparición de incidentes antes de que se produzcan. Mediante una evaluación continua —y la corrección de las vulnerabilidades detectadas—, los proveedores de atención sanitaria y los fabricantes pueden mejorar la ciberseguridad general de los equipos médicos críticos, reduciendo así el riesgo de daños a los pacientes y de violaciones de datos.

Las autoridades reguladoras de los productos sanitarios se apresuran por mantenerse al día con una tecnología en rápida evolución. Aun así, no existen normas de seguridad estandarizadas en todo el sector. En consecuencia, los fabricantes no pueden diseñar productos con un sistema de seguridad sólido, lo que traslada la responsabilidad a los profesionales sanitarios, que deben hacer todo lo posible por evaluar la seguridad de sus dispositivos. Muchos de los dispositivos médicos se basan en sistemas heredados que no se diseñaron de acuerdo con los estándares de seguridad modernos. Estos sistemas pueden ser especialmente vulnerables a los ciberataques y más difíciles —y costosos— de actualizar para protegerse contra las amenazas actuales.

El Congreso destina fondos a la ciberseguridad

Hasta la aprobación de la reciente legislación, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) carecía de competencias para hacer cumplir las directrices de ciberseguridad. Un proyecto de ley promulgado en diciembre de 2022, denominadoLey de Asignaciones Consolidadas de 2023 (H.R. 26217) —que cuenta con 1,7 billones de dólares en recursos discrecionales para todo el año fiscal, el nivel más alto de financiación no destinada a defensa en la historia de Estados Unidos—, tiene el mayor potencial hasta la fecha para frenar las amenazas a la ciberseguridad. El proyecto de ley de asignaciones generales incluye fondos para programas gubernamentales y el desarrollo económico de las zonas rurales y las infraestructuras, la conservación, la salud animal y vegetal, la investigación agrícola y de comercialización, y mucho más.

De esa cantidad, se destinan 3.500 millones de dólares a la FDA para abordar cuestiones como la crisis de los opiáceos, los problemas de la cadena de suministro médico y, sí, la mejora de la ciberseguridad de los dispositivos médicos. Además, cabe destacar que, por primera vez, se otorgó a la FDA la autoridad para establecer y hacer cumplir normas de ciberseguridad para los dispositivos médicos.

Cómo puede ayudar la Ley de Asignaciones Consolidadas

La Ley de Asignaciones Consolidadas contiene varias disposiciones relativas a la ciberseguridad de los dispositivos médicos, al tiempo que amplía la autoridad reguladora de la FDA.

En primer lugar, se aplicarán requisitos de seguridad a un nivel federal sin precedentes. Se exigirá a los fabricantes que implementen controles de seguridad que impidan el acceso no autorizado a los dispositivos, garanticen la accesibilidad de los productos sanitarios en caso de ciberataque y protejan la confidencialidad y los datos de los pacientes. Cada fabricante deberá presentar a la FDA un plan integral de ciberseguridad, que será evaluado para su aprobación previa a la comercialización y en el que se detallarán los procedimientos destinados a garantizar que los consumidores dispongan de actualizaciones de software y firmware tras la comercialización.

Las medidas también exigirán una mayor transparencia y rendición de cuentas por parte de los fabricantes. A partir de ahora, los fabricantes deberán notificar los incidentes de ciberseguridad a la FDA (así como a los pacientes afectados) en un plazo determinado y proporcionar información actualizada sobre el avance de las medidas correctoras y los planes para evitar que se repitan incidentes similares.

Las retiradas de productos y los problemas de corrección debidos a amenazas cibernéticas son frecuentes y, dado que organismos como la FDA critican cada vez más abiertamente las decisiones de los fabricantes, estos deben seguir su ejemplo y actuar según las normas para evitar reacciones negativas por parte del público. En consecuencia, hay más motivos para seguir los consejos de los expertos y establecer planes de retirada y corrección que incluyan cómo responder ante una crisis relacionada con los productos. También se recomienda que los fabricantes realicen simulacros de retirada como parte de sus protocolos de gestión de riesgos.

Algunas disposiciones van más allá de dirigirse únicamente a los fabricantes de productos sanitarios; por ejemplo, una disposición clave establece un nuevo centro dentro de la FDA dedicado a mejorar y coordinar las iniciativas de ciberseguridad para los productos sanitarios. El Centro de Excelencia en Ciberseguridad desarrollará y aplicará normas y buenas prácticas, ofrecerá orientación a los fabricantes y a los profesionales sanitarios, y evaluará la seguridad de los productos. Es importante destacar que esto tenderá un puente entre los fabricantes y el Gobierno federal para trazar un camino a seguir en la resolución de los problemas de ciberseguridad en el sector de los productos sanitarios.

Otras disposiciones fomentan el intercambio de información y la cooperación entre las partes interesadas; la FDA deberá establecer una alianza público-privada para promover la ciberseguridad en el sector. La FDA también estará obligada a poner en marcha un nuevo programa piloto destinado a evaluar la notificación de vulnerabilidades de ciberseguridad y a proporcionar a la agencia datos fundamentales sobre los riesgos.

El impacto previsto

Ahora que la FDA, los fabricantes y los profesionales sanitarios estarán obligados a colaborar estrechamente, es posible que por fin se resuelvan los problemas relacionados con la falta de claridad o de transparencia. Por parte de los fabricantes, gracias a la obligación de detallar la información sobre ciberseguridad en los informes de retirada del mercado, garantizar unos altos estándares de seguridad y comunicar la información a la agencia, la FDA y los profesionales sanitarios dispondrán de una gran cantidad de datos para comprender mejor los riesgos de ciberseguridad asociados a los productos sanitarios.

Por el contrario, si se exige a la FDA que ofrezca orientación sobre las revisiones posteriores a la comercialización, cree un centro específico para desarrollar normas y establezca un programa piloto centrado en las vulnerabilidades, los fabricantes (y los profesionales sanitarios) obtendrán información útil que les ayudará a mejorar los aspectos problemáticos y a reducir el riesgo de retiradas de productos.

Cuando los productos sanitarios suponen un riesgo para los pacientes, es fundamental actuar con rapidez. Además de afectar a la salud de los pacientes, las retiradas de productos sanitarios pueden tener un impacto devastador en la imagen de marca y los resultados económicos de una empresa, y exponerla a medidas reguladoras y a posibles litigios. Los expertos en protección de marca de Sedgwick aportan décadas de experiencia en el sector de los productos sanitarios, ayudándole a desarrollar, mejorar, probar y ejecutar sus planes de retirada de productos o sus procedimientos de corrección.

Más información > Visite nuestrositio webpara conocer nuestra experiencia en el sector de los productos sanitarios