Un sistema de control de glucosa en sangre que utiliza un teléfono inteligente y un medidor que se adhiere a la piel.
Ute Grabowsky | biblioteca de fotos | imágenes falsas
El Internet de las cosas para el control y la gestión remotos de problemas de salud comunes está creciendo, liderado por pacientes con diabetes.
Aproximadamente uno de cada diez estadounidenses, o 37 millones de personas, viven con diabetes. Los dispositivos como las bombas de insulina, que tienen décadas de antigüedad, y los medidores continuos de glucosa, que monitorean los niveles de glucosa en sangre las 24 horas del día, los 7 días de la semana, se conectan cada vez más a los teléfonos inteligentes a través de Bluetooth. La mayor conectividad trae muchos beneficios. Las personas con diabetes tipo 1 tienen un control mucho mejor de sus niveles de azúcar en la sangre porque pueden revisar los datos de dosificación de insulina y azúcar en la sangre de semanas, lo que facilita detectar tendencias y ajustar la dosificación. En los últimos años, los pacientes con diabetes se han vuelto tan expertos en el monitoreo remoto que una comunidad de hackers de pacientes ha estado manipulando dispositivos para administrar mejor sus necesidades médicas, y la industria de dispositivos médicos ha aprendido de ellos.
Pero la capacidad de monitorear las condiciones médicas a través de Internet conlleva riesgos, incluida la piratería infame. Aunque los dispositivos médicos que deben pasar por la aprobación de la FDA cumplen con un estándar más alto que los equipos de fitness, todavía existen riesgos para proteger los datos del paciente y acceder al dispositivo en sí. los fabricantes han emitido retiros relacionados con vulnerabilidades. En septiembre me paso eso MedtronicLa bomba de insulina de la serie MiniMed 600, sobre la cual la compañía y la FDA han advertido, tiene un problema potencial que podría permitir el acceso no autorizado, poniendo la bomba en riesgo de administrar demasiada o muy poca insulina.
Apnea del sueño, diabetes tipo 2 y atención médica a distancia
No solo en diabetes, el mercado de dispositivos médicos ofrece a los pacientes nuevos beneficios de monitoreo remoto. Para la apnea del sueño, que se estima que afecta hasta a 30 millones de estadounidenses (y mil millones de personas en todo el mundo), los dispositivos C-PAP ahora pueden almacenar y enviar datos a los proveedores de atención médica sin necesidad de una visita al médico.
La cantidad de dispositivos médicos conectados a Internet creció durante la pandemia, ya que los bloqueos provocaron un gran impulso para tratar a las personas en el hogar. A medida que aumentaba la cantidad de visitas de atención virtual, «abrió los ojos de todos a los dispositivos médicos que se usan en el hogar para monitorear a los pacientes de forma remota», dijo Gregg Pessin, director senior de investigación de Gartner.
Las ventas constantes de monitores continuos de glucosa y bombas de insulina han ayudado a empresas como dexcom, IslaMedtronic y Laboratorios Abbott, y se espera que aumenten las ventas de dispositivos tecnológicos para la diabetes. Según los Centros para el Control y la Prevención de Enfermedades, además de los 37 millones de personas en los EE. UU. que tienen diabetes, hay aproximadamente 96 millones de adultos que son prediabéticos. Los fabricantes de medidores continuos de glucosa y bombas de insulina, que han sido el estándar de atención para la diabetes tipo 1 durante años, también se dirigen cada vez más a los pacientes con diabetes tipo 2.
Múltiples formas de riesgo de ciberseguridad médica
Los expertos en seguridad de la industria clasifican los riesgos de ciberseguridad de los dispositivos médicos en tres áreas.
En primer lugar, existe el riesgo para los datos del paciente. Muchos dispositivos médicos, como las bombas de insulina, requieren que los pacientes creen cuentas en línea para descargar datos a una computadora o teléfono inteligente. Estas cuentas pueden contener información confidencial, no solo información de salud confidencial, sino también detalles personales como números de seguro social.
Otro riesgo es para el dispositivo médico en sí, como lo demuestran los titulares sobre el riesgo de que los piratas informáticos puedan acceder a un dispositivo médico como la bomba de Medtronic y cambiar la configuración de la dosis, con consecuencias potencialmente fatales. Un informe de Unit 42, una empresa de ciberseguridad que forma parte de Redes de Palo Alto, descubrió que el 75 % de las bombas de infusión, incluidas las bombas de insulina, tenían «vulnerabilidades de seguridad conocidas» que las ponían en riesgo de ser comprometidas por atacantes. May Wang, director de tecnología de seguridad de Internet de las cosas en Palo Alto Networks, dijo que en un experimento de laboratorio, los piratas informáticos obtuvieron acceso a las bombas de infusión y cambiaron la dosis de los medicamentos. “Así que ahora la seguridad cibernética no se trata solo de privacidad, no se trata solo de fuga de datos. Es más una cuestión de vida o muerte”, dijo.
Pero Pessin de Gartner dijo que ese riesgo es pequeño en el mundo real. Bajo las condiciones controladas de un laboratorio, «es solo cuestión de tiempo antes de que puedas hacerlo», pero en el mundo real, «sería mucho más difícil», dijo.
Una portavoz de Medtronic dijo que la compañía diseña y fabrica tecnología médica para que sea lo más segura posible, y su oficina global de seguridad de productos monitorea continuamente los productos de seguridad a lo largo de su ciclo de vida. La compañía también monitorea el panorama de la seguridad cibernética para abordar las vulnerabilidades y «tomar medidas para proteger a los pacientes a través de un proceso de divulgación coordinado y boletines de seguridad».
En septiembre, Medtronic comunicó a los usuarios cómo eliminar el riesgo de administración accidental de insulina al deshabilitar la capacidad de dosificar de forma remota utilizando un dispositivo separado.
El tercer riesgo de ciberseguridad es la conexión entre el dispositivo médico y la red, ya sea WiFi o 5G. A medida que los dispositivos médicos se conectan más, presentan un mayor riesgo de malware, un riesgo que es bien conocido en otras industrias y que pronto podría surgir también en el cuidado de la salud. Wong señaló un caso de 2014 en el que Target filtró datos confidenciales de clientes después de instalar un sistema HVAC infectado con malware.
Si bien aún no ha habido casos conocidos de que esto suceda con los dispositivos médicos que se usan en el hogar, podría ser cuestión de tiempo y los dispositivos más antiguos que no se actualizan periódicamente corren un mayor riesgo. En los hospitales, los sistemas operativos heredados han dejado algunos dispositivos médicos vulnerables a los ataques. Algunos sistemas de imágenes médicas, que pueden tener un ciclo de vida de más de 20 años, todavía se ejecutan en Windows 98 sin parches de seguridad, y ha habido incidentes en los que se han pirateado escáneres de resonancia magnética o máquinas de rayos X para realizar operaciones de criptominería sin publicidad. era proveedor de atención médica.
regulación de dispositivos
Los legisladores y los líderes de la atención médica están presionando para obtener más orientación y regulación sobre la seguridad de los dispositivos médicos.
En abril pasado, los senadores introdujeron la Ley PATCH para exigir a los fabricantes de dispositivos médicos que buscan la aprobación de la FDA que cumplan con ciertos requisitos de seguridad cibernética y mantengan actualizaciones y parches de seguridad. Más recientemente, la Ley de Asignaciones Ómnibus de $ 1,65 billones aprobada a fines de 2022 incluyó nuevos requisitos de ciberseguridad para dispositivos médicos. Los expertos dijeron que las disposiciones de la ley no van tan lejos como los requisitos de la Ley PATCH, pero no obstante son significativas.
Un portavoz de la FDA le dijo a CNBC que las nuevas disposiciones de seguridad cibernética en la ley ómnibus representan un importante paso adelante en la supervisión de la seguridad cibernética por parte de la FDA como parte de la seguridad y eficacia de un dispositivo médico. Entre otras cosas, los fabricantes deben implementar planes y procesos de divulgación de vulnerabilidades. Los fabricantes de dispositivos también deben proporcionar actualizaciones oportunas y parches de seguridad a los dispositivos y sistemas asociados para «vulnerabilidades críticas que representan un riesgo descontrolado».
Cómo mantener el control como consumidor
A medida que los médicos prescriben cada vez más medidores de glucosa y bombas de insulina no solo para la diabetes tipo 1 sino también para la diabetes tipo 2, que es mucho más común, los consumidores que sopesan si usar o no un dispositivo de este tipo pueden consultar primero el sitio web del fabricante. su información de salud privada. También pueden preguntar a sus médicos sobre la seguridad, aunque los expertos en seguridad cibernética dicen que aún queda trabajo por hacer para aumentar la conciencia sobre estos riesgos entre los proveedores de atención médica.
Los consumidores con un dispositivo médico conectado a Internet deben registrarse con el fabricante para asegurarse de que estén informados de las actualizaciones de seguridad. Mantener la higiene cibernética básica en el hogar también es crucial, ya que muchos dispositivos ahora se conectan a WiFi. Asegúrese de que la red Wi-Fi esté protegida con una contraseña segura y también use un nombre de usuario y una contraseña seguros para el sitio web de la empresa cuando comparta o descargue datos. Cada vez más consumidores ahora también eligen usar un administrador de contraseñas para almacenar toda su información de inicio de sesión en Internet. Debido a que WiFi permite que los dispositivos interactúen con otros dispositivos, asegúrese de que las computadoras portátiles y los teléfonos también estén seguros en el hogar.