¿Se pueden hackear los marcapasos y desfibriladores implantables?

A finales de 2016 y principios de 2017, los informes de noticias aumentaron el espectro de que las personas con malas intenciones podrían piratear el dispositivo médico implantable de una persona y causar problemas graves. Específicamente, los dispositivos en cuestión son comercializados por St. Jude Medical, Inc. e incluyen  marcapasos  (que tratan la  bradicardia sinusal  y el  bloqueo cardíaco),  desfibriladores implantables (ICD)  (que tratan  la taquicardia ventricular  y  la fibrilación ventricular ) y  dispositivos CRT (que tratar la  insuficiencia cardíaca ). Estos informes de noticias pueden haber despertado temores entre las personas que tienen estos dispositivos médicos sin colocar el problema en una perspectiva suficiente.

¿Los dispositivos cardíacos implantados están en riesgo de ataques cibernéticos? Sí, porque cualquier dispositivo digital que incluya comunicación inalámbrica es al menos teóricamente vulnerable, incluidos marcapasos, ICD y dispositivos CRT. Pero hasta ahora, un ataque cibernético real contra cualquiera de estos dispositivos implantados nunca se ha documentado. Y (gracias en gran parte a la reciente publicidad sobre piratería, tanto de dispositivos médicos como de políticos), la FDA y los fabricantes de dispositivos ahora están trabajando arduamente para corregir las vulnerabilidades.

Dispositivos cardíacos y hacking de St. Jude

La historia apareció por primera vez en agosto de 2016 cuando el famoso vendedor a corto Carson Block anunció públicamente que St. Jude había estado vendiendo cientos de miles de marcapasos implantables, desfibriladores y dispositivos CRT que eran extremadamente vulnerables a la piratería. Block dijo que una empresa de ciberseguridad con la que estaba afiliado (MedSec Holdings, Inc.) había realizado una investigación intensiva y descubrió que los dispositivos de St. Jude eran especialmente vulnerables a la piratería (a diferencia de los mismos tipos de dispositivos médicos vendidos por Medtronic). Boston Scientific, y otras empresas). En particular, dijo Block, los sistemas de St. Jude “carecían incluso de las defensas de seguridad más básicas”, como los dispositivos anti-manipulación, el cifrado y las herramientas anti-depuración, del tipo comúnmente utilizado por el resto de la industria.

La supuesta vulnerabilidad estaba relacionada con el control remoto e inalámbrico que todos estos dispositivos han incorporado. Estos sistemas de monitoreo inalámbrico están diseñados para detectar automáticamente los problemas emergentes de los dispositivos antes de que puedan causar daño, y comunican estos problemas inmediatamente al médico. Se ha documentado que esta función de monitoreo remoto, ahora utilizada por todos los fabricantes de dispositivos, mejora significativamente la seguridad de los pacientes que tienen estos productos. El sistema de monitoreo remoto de St. Jude se llama “Merlin.net”.

Las acusaciones de Block fueron bastante espectaculares y causaron una caída inmediata en el precio de las acciones de St. Jude, que era precisamente el objetivo declarado de Block. Cabe destacar que antes de hacer sus alegaciones sobre St. Jude, la compañía de Block (Muddy Waters, LLC), había tomado una importante posición corta en St. Jude. Esto significaba que la compañía de Block podía ganar millones de dólares si las acciones de St. Jude caían sustancialmente y se mantenía lo suficientemente bajo como para escatimar una adquisición acordada por Abbott Labs.

Después del ataque publicitado de Block, St. Jude respondió de inmediato con comunicados de prensa redactados con fuerza, en el sentido de que las acusaciones de Block eran “absolutamente falsas”. St. Jude también demandó a Muddy Waters, LLC por supuestamente difundir información falsa para manipular St. Jude’s precios de las acciones. Mientras tanto, los investigadores independientes examinaron la pregunta de vulnerabilidad de St. Jude y llegaron a diferentes conclusiones. Un grupo confirmó que los dispositivos de St. Jude eran particularmente vulnerables al ataque cibernético; otro grupo concluyó que no lo eran. Todo el asunto se dejó caer en el regazo de la FDA, que inició una investigación enérgica, y poco se supo del asunto durante varios meses. Durante ese tiempo, las acciones de St. Jude recuperaron gran parte de su valor perdido y, a fines de 2016, la adquisición por parte de Abbott se concluyó con éxito.

Luego, en enero de 2017, ocurrieron dos cosas a la vez. Primero, la FDA emitió una declaración que indica que efectivamente hubo problemas de seguridad cibernética con los dispositivos médicos de St. Jude y que esta vulnerabilidad podría permitir las intrusiones y ataques cibernéticos que podrían ser perjudiciales para los pacientes. Sin embargo, la FDA señaló que no se ha encontrado evidencia de que la piratería haya tenido lugar en ningún individuo. 

En segundo lugar, St. Jude lanzó un parche de software de ciberseguridad diseñado para disminuir en gran medida la posibilidad de piratear sus dispositivos implantables. El parche de software se diseñó para instalarse de forma automática e inalámbrica en St. Jude’s Merlin.net. La FDA recomendó que los pacientes que tienen estos dispositivos continúen utilizando el sistema de monitoreo inalámbrico de St Jude, ya que “los beneficios para la salud de los pacientes por el uso continuado del dispositivo superan los riesgos de ciberseguridad”.

¿Dónde nos deja esto?

Lo que antecede describe los hechos tal como los conocemos en público. Como alguien que estuvo íntimamente involucrado en el desarrollo del primer sistema de monitoreo remoto de dispositivos implantables (no en St. Jude), interpreto todo esto de la siguiente manera: Parece seguro que existieron vulnerabilidades de seguridad cibernética en el sistema de monitoreo remoto de St. Jude. , y estas vulnerabilidades parecen haber sido fuera de lo común para la industria en general. (Por lo tanto, las negaciones iniciales de St. Jude parecen haber sido exageradas).

Además, es evidente que St. Jude se movió rápidamente para remediar esta vulnerabilidad, trabajando en conjunto con la FDA, y que estos pasos finalmente fueron considerados satisfactorios por la FDA. De hecho, a juzgar por la cooperación de la FDA y el hecho de que la vulnerabilidad se resolvió suficientemente mediante un parche de software, el problema de St. Jude no parece ser tan grave como el que el Sr. Block había alegado en 2016. ( Entonces, las declaraciones iniciales del Sr. Block parecen haber sido exageradas). Además, las correcciones se hicieron antes de que alguien resultara dañado.

Ya sea que el manifiesto conflicto de intereses del Sr. Block (por el cual reducir el precio de las acciones de St. Jude podría generarle grandes sumas de dinero), podría haberle llevado a exagerar los posibles riesgos cibernéticos que suena posible, pero esta es una pregunta que los tribunales de justicia deben determinar .

Por ahora parece probable que, con el parche de software correctivo aplicado, las personas con dispositivos de St. Jude no tengan una razón particular para preocuparse demasiado por los ataques de piratería.

¿Por qué son vulnerables los dispositivos cardíacos implantables al ataque cibernético?

En este momento, la mayoría de nosotros nos damos cuenta de que cualquier dispositivo digital que usemos en nuestras vidas que involucre comunicación inalámbrica es al menos teóricamente vulnerable al ataque cibernético. Eso incluye cualquier dispositivo médico implantable, todo lo cual debe comunicarse de forma inalámbrica con el mundo exterior (es decir, el mundo fuera del cuerpo).

La posibilidad de que las personas o los grupos que se inclinan por el mal puedan realmente piratear dispositivos médicos ha llegado a parecer, en los últimos años, más una amenaza real. En este sentido, la publicidad que rodea a las vulnerabilidades de St. Jude puede haber tenido un efecto positivo. Es evidente que tanto la industria de los dispositivos médicos como la FDA son muy serias ante esta amenaza, y ahora están actuando con gran vigor para enfrentarla.

¿Qué está haciendo la FDA con respecto al problema?

La atención de la FDA se ha centrado recientemente en este tema, probablemente en gran parte debido a la controversia sobre los dispositivos de St. Jude. En diciembre de 2016, la FDA publicó un documento de 30 páginas de “orientación” para fabricantes de dispositivos médicos, que establece un nuevo conjunto de reglas para abordar las vulnerabilidades cibernéticas en dispositivos médicos que ya se encuentran en el mercado. (Se publicaron reglas similares para productos médicos aún en desarrollo en 2014). Las nuevas reglas describen cómo los fabricantes deben identificar y corregir las vulnerabilidades de seguridad cibernética en los productos comercializados y cómo establecer programas para identificar y reportar nuevos problemas de seguridad.

La línea de fondo

Dados los riesgos cibernéticos inherentemente asociados con cualquier sistema de comunicación inalámbrico, es inevitable cierto grado de vulnerabilidad cibernética con los dispositivos médicos implantables. Pero es importante saber que se pueden construir defensas en estos productos para hacer que el pirateo sea una posibilidad remota, e incluso el Sr. Block está de acuerdo en que para la mayoría de las empresas esto ha sucedido. Si anteriormente St. Jude se había mostrado un tanto relajado con respecto a este asunto, la compañía parece haberse curado debido a la publicidad negativa que recibió en 2016, que durante un tiempo amenazó seriamente su negocio. Entre otras cosas, St. Jude ha encargado a un Consejo Asesor Médico de Seguridad Cibernética independiente que supervise sus esfuerzos en el futuro. Es probable que otras compañías de dispositivos médicos sigan su ejemplo. Por lo tanto, tanto la FDA como los fabricantes de dispositivos médicos están abordando el problema con mayor vigor.

Las personas que han implantado marcapasos, ICD o dispositivos CRT deben prestar atención al problema de la vulnerabilidad cibernética, ya que es probable que escuchemos más al respecto a medida que pasa el tiempo. Pero por ahora, al menos, el riesgo parece ser bastante pequeño, y ciertamente está superado por los beneficios de la supervisión remota de dispositivos.