A medida que la tecnología evoluciona rápidamente, la ciberseguridad se ha vuelto indispensable en muchas industrias. A medida que el riesgo de ciberataques se infiltra en la industria de la salud, el Congreso de los Estados Unidos se ve presionado para tomar medidas. A medida que una variedad de dispositivos médicos (bombas intravenosas, máquinas de resonancia magnética, monitores de frecuencia cardíaca) avanzan para poder conectarse a redes digitales, son cada vez más vulnerables a los riesgos relacionados con la ciberseguridad.

Aumentan los riesgos de ciberseguridad

Hay varios factores que contribuyen al aumento de las amenazas a la ciberseguridad de los dispositivos médicos. El más evidente es la creciente conectividad en el sector médico. Cada vez más, los dispositivos médicos se diseñan para conectarse a Internet y otras redes digitales. Si bien estos avances tecnológicos tienen numerosas ventajas, también exponen el software —y con él, los datos de los pacientes— a un mundo de riesgos. Los piratas informáticos pueden aprovechar las vulnerabilidades del software o las conexiones de red para acceder a datos confidenciales o incluso hacerse con el control del propio dispositivo. En estos casos, la retirada de productos puede ser especialmente peligrosa para la vida de los pacientes, ya que no es posible seguir utilizando el dispositivo.

También hay que tener en cuenta el concepto de reparación. En ocasiones, los dispositivos conectados pueden repararse con un parche de software inalámbrico. Dada la naturaleza de algunos dispositivos y su importancia para la salud de los pacientes, ni los parches de software ni las retiradas del mercado son soluciones sencillas. También hay que tener en cuenta los equipos y aparatos pesados instalados en hospitales y centros médicos que no pueden retirarse fácilmente de su ubicación física, como los escáneres de resonancia magnética, las máquinas de rayos X y las ecógrafos, por nombrar solo algunos. A medida que estos dispositivos se conectan cada vez más a las redes de los hospitales, también se vuelven vulnerables a las amenazas cibernéticas. Cuando no es posible repararlos de forma remota con un parche de software, normalmente es necesario enviar a un ingeniero de campo para que los inspeccione, diagnostique y repare in situ.

La posibilidad de retirada no depende únicamente de un incidente real, sino también de la susceptibilidad a los ciberataques. Las pruebas preventivas de vulnerabilidad desempeñan un papel fundamental a la hora de identificar los puntos débiles en la estructura de seguridad de estos dispositivos, lo que ayuda a mitigar la aparición de incidentes antes de que se produzcan. Mediante una evaluación continua —y la corrección de las vulnerabilidades detectadas—, los proveedores de atención sanitaria y los fabricantes pueden mejorar la ciberseguridad general de los equipos médicos críticos, reduciendo el riesgo de daños a los pacientes y de violaciones de datos.

Los reguladores de dispositivos médicos se apresuran por mantenerse al día con la rápida evolución de la tecnología. Aun así, no existen regulaciones de seguridad estandarizadas en toda la industria. Como resultado, los fabricantes no pueden diseñar productos con un sistema de seguridad formidable, lo que hace que la responsabilidad de evaluar la seguridad de sus dispositivos recaiga en los proveedores de atención médica, quienes deben hacer todo lo posible por hacerlo. Muchos de los dispositivos médicos se basan en sistemas heredados que no se diseñaron de acuerdo con las normas de seguridad modernas. Estos sistemas pueden ser especialmente vulnerables a los ciberataques y más difíciles —y costosos— de actualizar para protegerlos contra las amenazas modernas.

El Congreso asigna fondos para la ciberseguridad.

Hasta la aprobación de la reciente legislación, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) no tenía facultades para hacer cumplir las directrices de ciberseguridad. Una ley promulgada en diciembre de 2022, denominadaLey de Asignaciones Consolidadas de 2023 (H.R. 26217), que cuenta con 1,7 billones de dólares en recursos discrecionales para todo el año fiscal, el nivel más alto de financiación no destinada a defensa en la historia de Estados Unidos, tiene el potencial más real hasta la fecha para frenar las amenazas a la ciberseguridad. El proyecto de ley de asignaciones generales incluye fondos para programas gubernamentales y el desarrollo económico de las zonas rurales y las infraestructuras, la conservación, la salud animal y vegetal, la investigación agrícola y de marketing, entre otros.

De esta cantidad, 3500 millones de dólares se destinan a la FDA para abordar cuestiones como la crisis de los opioides, los problemas de la cadena de suministro médico y, sí, la mejora de la ciberseguridad de los dispositivos médicos. Además, cabe destacar que, por primera vez, se ha otorgado a la FDA la autoridad para establecer y hacer cumplir las normas de ciberseguridad para los dispositivos médicos.

Cómo puede ayudar la Ley de Asignaciones Consolidadas

La Ley de Asignaciones Consolidadas contiene varias disposiciones dirigidas a la ciberseguridad de los dispositivos médicos, al tiempo que aumenta la autoridad reguladora de la FDA.

En primer lugar, se implementarán requisitos de seguridad a un nivel federal sin precedentes. Los fabricantes deberán implementar controles de seguridad que impidan el acceso no autorizado a los dispositivos, garanticen la accesibilidad de los dispositivos médicos en caso de ciberataque y protejan la confidencialidad y los datos de los pacientes. Cada fabricante deberá presentar a la FDA un plan integral de ciberseguridad para su revisión y aprobación previa a la comercialización, en el que se detallarán los procedimientos para garantizar que los consumidores dispongan de actualizaciones de software y firmware tras la comercialización.

Las medidas también exigirán una mayor transparencia y responsabilidad por parte de los fabricantes. Ahora, los fabricantes deben informar de los incidentes de ciberseguridad a la FDA (así como a los pacientes afectados) en un plazo determinado y proporcionar información actualizada sobre el progreso de las medidas correctivas y los planes para evitar que se produzcan incidentes similares.

Las retiradas de productos y las preocupaciones por las medidas correctivas debido a las amenazas cibernéticas son frecuentes, y a medida que organismos como la FDA critican cada vez más públicamente las decisiones de los fabricantes, estos deben seguir su ejemplo y actuar según las normas para evitar la reacción negativa del público. En consecuencia, hay más incentivos para seguir los consejos de los expertos y establecer planes de retirada y medidas correctivas que incluyan cómo responder a una crisis relacionada con un producto. También se sugiere que los fabricantes realicen simulacros de retirada como parte de sus protocolos de gestión de riesgos.

Algunas disposiciones van más allá de dirigirse únicamente a los fabricantes de dispositivos médicos, como una disposición clave que establece un nuevo centro dentro de la FDA dedicado a mejorar y coordinar los esfuerzos de ciberseguridad para los dispositivos médicos. El Centro de Excelencia en Ciberseguridad desarrollará e implementará normas y mejores prácticas, proporcionará orientación a los fabricantes y proveedores de atención médica y evaluará la seguridad de los dispositivos. Es importante destacar que esto creará un puente entre los fabricantes y el gobierno federal para abrir un camino hacia adelante en el abordaje de las preocupaciones de ciberseguridad en la industria de los dispositivos médicos.

Otras disposiciones promueven el intercambio de información y la cooperación entre las partes interesadas; la FDA deberá establecer una asociación público-privada para promover la ciberseguridad dentro de la industria. La FDA también estará obligada a establecer un nuevo programa piloto diseñado para evaluar los informes sobre vulnerabilidades de ciberseguridad y proporcionar a la agencia datos críticos sobre los riesgos.

El impacto previsto

Ahora que la FDA, los fabricantes y los proveedores de atención médica estarán obligados a trabajar en conjunto, es posible que finalmente se resuelvan los problemas relacionados con la falta de claridad o transparencia. Por parte de los fabricantes, con los requisitos de detallar la información sobre ciberseguridad en los informes de retirada, garantizar altos estándares de seguridad y comunicar la información a la agencia, la FDA y los proveedores de atención médica dispondrán de una gran cantidad de información para comprender mejor los riesgos de ciberseguridad asociados a los dispositivos médicos.

Por el contrario, al exigir a la FDA que proporcione orientación sobre las revisiones posteriores a la comercialización, cree un centro dedicado al desarrollo de normas y establezca el programa piloto que se centra en las vulnerabilidades, los fabricantes (y los proveedores de atención médica) obtendrán conocimientos útiles que les ayudarán a mejorar las áreas problemáticas y reducir el riesgo de retiradas de productos.

Cuando los dispositivos médicos ponen en riesgo a los pacientes, es fundamental actuar con rapidez. Además de la salud de los pacientes, la retirada de dispositivos médicos puede tener un impacto devastador en la marca y los resultados financieros de una empresa, y exponerla a medidas reguladoras y litigios. Los expertos en protección de marcas de Sedgwick cuentan con décadas de experiencia en dispositivos médicos y le ayudan a desarrollar, mejorar, probar y ejecutar sus planes de retirada de productos o procedimientos de reparación.

Más información > Visite nuestrositio webpara conocer nuestra experiencia en el sector de los dispositivos médicos.