Las aplicaciones digitales de salud están en auge. Ahora los delincuentes también podrían intentar acceder a los dispositivos digitales, así que tiene sentido preocuparse por la ciberseguridad no solo de las aplicaciones digitales de salud, sino también de las aplicaciones móviles de salud, como las bombas de insulina o los marcapasos. ¿Hasta qué punto es grave el riesgo de ataques y cómo puede uno protegerse? Medscape habló con Le Nguyen, experto del equipo de dispositivos médicos de la Asociación Federal de Seguros de Enfermedad (MDS) de Alemania.
Le Nguyen
Medscape: Sr. Nguyen, el número de aplicaciones digitales de salud va en aumento. ¿Podrían los atacantes acceder también desde el exterior a aplicaciones digitales de salud u otros dispositivos médicos digitales como bombas de insulina o marcapasos?
Nguyen: La posibilidad existe, sí.
¿Qué aplicaciones pueden verse afectadas?
Hay muchos dispositivos médicos activos, es decir, con una fuente de energía, que también procesan datos. Por ejemplo, un marcapasos u otros implantes activos, como tensiómetros digitales o bombas de insulina digitales, o las aplicaciones de salud. Por ejemplo, los pacientes con una aplicación para psicoterapia corren peligro, porque ahí se procesan datos especialmente sensibles a través del smartphone, como las conversaciones, los diarios de estado de ánimo o los datos del diagnóstico.
¿Cómo es un ataque técnicamente posible?
Hay varios vectores de ataque que pueden utilizarse para ello. Por ejemplo, se puede intentar acceder a la ubicación de almacenamiento de los datos, ya sea la memoria del dispositivo, el smartphone o el implante, o al servidor del fabricante. También es posible acceder a los datos durante la transmisión, a través de Bluetooth o internet. Toda conexión con el exterior ofrece una posibilidad de ataque. Los atacantes son muy creativos y a veces muy profesionales.
¿Se conoce algún caso en el que los pacientes hayan resultado perjudicados por este tipo de intervenciones?
La lectura ilegal de datos ya constituye una violación de la protección de datos. Imagine que un paciente comunica sus sentimientos a través de una aplicación y un atacante desvía estos datos. En el peor de los casos, el dispositivo ni siquiera está cifrado. Lo mismo ocurre con los datos relativos a las funciones cardiacas, la presión arterial o el peso, o un diagnóstico de cáncer: una vez que estos datos han sido extraídos, están virtualmente en el mundo para siempre e irrevocablemente visibles. Se trata, pues, de un daño considerable.
¿Se pueden manipular los dispositivos también desde el exterior?
El hecho de que no solo los datos pueden ser intervenidos desde el exterior sino que también se puede alterar el funcionamiento de las aplicaciones ya fue demostrado en 2020 por un estudio de la Oficina Federal de Seguridad de la Información (BSI) de Alemania. Esta comprobó varios productos médicos y descubrió que presentaban importantes lagunas de seguridad. Se detectaron unas 150 brechas en 11 fabricantes. Por ejemplo, era posible acceder a las bombas de insulina desde el exterior y se podría haber modificado la dosis que se administra a los pacientes con diabetes.
El exvicepresidente de Estados Unidos, Dick Cheney, se tomó el problema muy en serio e hizo suspender algunas funciones de su marcapasos por temor a ataques de piratas informáticos. Sin embargo, se desconoce si algún implante ha sido manipulado alguna vez desde el exterior. El estudio de la Oficina Federal de Seguridad de la Información solo demostró que la manipulación es posible, pero a veces solo en determinadas condiciones. En algunos casos, el atacante tendría que estar en las inmediaciones de la víctima. O tendría que conocer la arquitectura del software de un ventilador, por ejemplo.
¿Qué fabricantes y productos se vieron afectados?
Se vieron afectados una gran variedad de fabricantes y productos. Puede encontrar una lista detallada en el informe de Oficina Federal de Seguridad de la Información titulado Manipulación de productos médicos (ManiMed).
¿Cómo reaccionaron los fabricantes?
De forma diferente. Algunos abordaron abiertamente y de forma comunicativa las vulnerabilidades descubiertas. Otros, al parecer, consideraron que los problemas detectados no eran graves. Sin embargo, entretanto, se han subsanado todas las vulnerabilidades de seguridad descubiertas.
¿Puede el usuario protegerse?
El Reglamento sobre los productos sanitarios está en vigor desde 2021. Ha sustituido las directivas sobre productos médicos que eran válidas hasta entonces y estipula que los fabricantes deben tener siempre en cuenta la denominada "ciberseguridad" del producto en cuestión durante su diseño. Debe responder al estado actual de la técnica.
El problema es que aún no se ha definido en ninguna parte cuál es el estado actual de la técnica. Por lo tanto, hoy en día hay todo tipo de normas, directrices y directivas de las que los fabricantes tienen que elegir los requisitos apropiados para su producto. En 2024 se introducirá una norma armonizada. Muchos fabricantes parecen estar esperándola.
¿Habrá entonces más seguridad para los usuarios de productos digitales de salud?
La ciberseguridad es un proceso continuo, no es algo puntual ni seguro al cien por ciento. Hay varias razones para ello. Por ejemplo, de poco sirven las constantes actualizaciones de seguridad de los fabricantes si estas no se instalan. Hace falta un esfuerzo conjunto de fabricantes, operadores y usuarios para mantener la mayor seguridad posible.
Nos hemos acostumbrado a las conexiones inseguras del teléfono móvil y el correo electrónico. ¿Sucederá lo mismo con los productos digitales de salud?
Tenemos la posibilidad de crear un alto nivel de seguridad si nos esforzamos lo suficiente y buscamos dónde pueden estar las vulnerabilidades. De hecho, las innovaciones digitales también traen riesgos a casa. Como los delincuentes son rápidos, las lagunas del software deben detectarse y cerrarse rápidamente. Lo que se necesita sobre todo es transparencia por parte de los fabricantes. Solo así podremos construir una cultura del aprendizaje y garantizar una mayor ciberseguridad.
Nguyen ha declarado no tener ningún conflicto de interés económico pertinente.
Para más contenido suscríbase a nuestros boletines y siga a Medscape en Facebook, Twitter, Instagram y YouTube.
| Contenido relacionado |
Medscape © 2023 WebMD, LLC
Cualesquiera puntos de vista expresados antes son del propio autor y no necesariamente reflejan los puntos de vista de WebMD o Medscape.
Citar este artículo: Marcapasos o bombas de insulina, objetivos de los piratas informáticos. Un experto explica los peligros - Medscape - 30 de mayo de 2023.
Comentario