La ciberseguridad de los dispositivos médicos es crítica para fabricantes y hospitales

Los avances tecnológicos son esenciales para cuidar nuestra salud, pero también obligan a fabricantes y hospitales a tener en cuenta la ciberseguridad de los dispositivos médicos

El 22% de las organizaciones del sector sanitario (hospitales, centros médicos, etc.) ha sufrido ciberataques que han tenido un impacto en sus dispositivos médicos. Esta cifra da buena muestra de los riesgos a los que se exponen los hospitales y de la importancia de fortalecer la ciberseguridad de los dispositivos médicos.

Sobre todo, si tenemos en cuenta que el sector de la salud se encuentra a la vanguardia en el diseño de herramientas tecnológicas sofisticadas que emplean software conectado a internet o Bluetooth: máquinas de resonancia magnética, bombas de infusión para suministrar medicamentos, equipamientos quirúrgicos, bombas de insulina que monitorizan a los pacientes para ajustar sus dosis, marcapasos inteligentes, etc.

Las evidentes ventajas que trae consigo el uso de la tecnología en el ámbito sanitario, conllevan, también, la necesidad de acometer la ciberseguridad de los dispositivos médicos.

De lo contrario, las organizaciones del sector se exponen a gravísimas consecuencias para la salud de sus pacientes.

1. Las autoridades públicas están poniendo el foco en la ciberseguridad de los dispositivos médicos

De ahí que no deba sorprendernos que se hayan aprobado normas y guías para garantizar la ciberseguridad de los dispositivos médicos tanto en la Unión Europea como en Estados Unidos.
De hecho, hace tan solo un par de meses que la FDA, la agencia estadounidense a cargo de la alimentación y los medicamentos, actualizó su guía sobre la ciberseguridad de los dispositivos médicos ante el riesgo de que los incidentes de seguridad los dejen inoperativos y afecten al funcionamiento de los hospitales y su capacidad de atender a los pacientes.

Asimismo, las fuerzas de seguridad, como el FBI, han alertado en los últimos años sobre los riesgos de ciberseguridad de los dispositivos médicos y han puesto el foco en el uso de equipamientos médicos obsoletos o en los que no se han aplicado los parches de seguridad desarrollados por los fabricantes.

Igualmente, han apuntado que la ciberseguridad de los dispositivos médicos se ve afectada por el uso de dispositivos en los que no se ha modificado la configuración por defecto del fabricante o que fueron diseñados sin tener en cuenta las exigencias en materia de ciberseguridad que deberían cumplir.

¿Cuáles son los requisitos de ciberseguridad de los dispositivos médicos? ¿Qué pueden hacer las organizaciones para fortalecer la seguridad de su tecnología? ¿Qué servicios son clave en la ciberseguridad del sector sanitario?

2. Las vulnerabilidades de los dispositivos médicos y la forma de prevenirlas

Un estudio elaborado por investigadores de la Universidad de Murcia analizó múltiples vulnerabilidades presentes en software y dispositivos médicos desarrollados por fabricantes clave en el sector y empleados en numerosos centros hospitalarios de todo el mundo.

¿De qué clase de vulnerabilidades estamos hablando? Gestión defectuosa de credenciales, exposición de información sensible, desbordamiento del búfer o procesos de autenticación inadecuados.

Las consecuencias de estas vulnerabilidades incluirían:

• Acceso a información médica confidencial que podría ser usada para lanzar campañas fraudulentas o suplantar la identidad de las víctimas.
• Administración errónea de medicamentos a los pacientes.
• Problemas en el funcionamiento de dispositivos como manómetros, medidores cardíacos o monitores vitales.

En la misma línea, otro estudio realizado por investigadores de la Universidad de Roma Tor Vergata alertó de que:

• Las vulnerabilidades de los dispositivos médicos son críticas en un 20% de los casos, una cifra notablemente superior a las vulnerabilidades presentes en otros dispositivos.
• Los dispositivos no son diseñados para mantener un nivel de protección óptimo durante su ciclo de vida.
• El hecho de que los dispositivos médicos tengan un periodo de vida más largo que software de ámbito genérico supone un desafío en materia de seguridad.

3. ¿Qué recomiendan los investigadores para fortalecer la ciberseguridad de los dispositivos médicos y el software sanitario?

1. Poner el foco en la ciberseguridad del hardware y el software sanitario desde la fase de diseño y durante todo el proceso de desarrollo, realizando auditorías de seguridad continuas antes de que los equipos salgan al mercado y mientras sean empleados.
2. Garantizar la seguridad a lo largo de todo el ciclo de vida de los dispositivos y programas mediante el cumplimiento de los estándares más elevados en ciberseguridad y poniendo el foco en su resiliencia.
3. Limitar las conexiones de dispositivos médicos innecesarias.
4. Optimizar los canales de comunicación entre fabricantes y organizaciones del ámbito sanitario para facilitar la notificación de vulnerabilidades y la implementación de parches de seguridad.
5. Fortalecer el marco normativo y desarrollar metodologías para facilitar el desarrollo seguro del software de los dispositivos médicos, como la guía de la FDA.
6. Dotar de mayor transparencia a la cadena de suministro de software gracias a la elaboración de inventarios de dependencias (SBOM) del software empleado en los dispositivos médicos.
7. Desarrollar estrategias de ciberseguridad que permitan manejar los riesgos, gestionar las vulnerabilidades y garantizar que no se emplean equipamientos obsoletos o desactualizados.

4. Riesgos de no garantizar un adecuado nivel de ciberseguridad de los dispositivos médicos

La explotación de vulnerabilidades en los dispositivos médicos o el acceso indebido a los mismos gracias a técnicas de ingeniería social puede tener repercusiones extremadamente graves para el bienestar de las personas:

• Manipulación del funcionamiento de los dispositivos. Si una bomba de insulina suministra una dosis errónea a un paciente, puede acabar afectando gravemente a su salud.
• Robo de datos médicos confidenciales de los pacientes.
• Que los dispositivos dejen de funcionar o que deban desconectarse para contener un ataque.
• Parálisis de la actividad de un hospital, o un centro médico al verse afectadas funciones esenciales como el diagnóstico, el tratamiento o la monitorización de los pacientes.
• Afectación a intervenciones críticas para la salud e, incluso, la vida de las personas.

A estas consecuencias del ámbito sanitario hay que sumar los daños económicos, reputacionales y legales que puede provocar un incidente de seguridad:

• Cuantiosas pérdidas económicas porque se vea afectado el funcionamiento de un hospital: derivación de pacientes, estadías más largas, gestión manual de múltiples tareas, retrasos de citas e intervenciones quirúrgicas, etc.
• Sanciones por infringir la normativa de protección de datos y costosas indemnizaciones si la información médica de los pacientes es empleada para atacarlos o extorsionarlos.
• Menoscabo de la confianza de los pacientes en una organización sanitaria o de los centros médicos en un fabricante de dispositivos médicos.

De ahí que invertir en la ciberseguridad de los dispositivos médicos no sea una cuestión accesoria, sino absolutamente estratégica y prioritaria para las organizaciones del sector.

5. Los dispositivos médicos IoT son cada vez más comunes en los hogares y debe protegerse

Aunque generalmente pensamos en los dispositivos médicos que se usan en los hospitales, lo cierto es que en los últimos años han proliferado dispositivos inteligentes que los pacientes llevan incorporados como marcapasos inteligentes o emplean en sus hogares como CPAP para tratar la apnea del sueño. Estos dispositivos inteligentes también pueden tener vulnerabilidades explotables por los actores maliciosos, como, por ejemplo, vulnerabilidades ligadas a sus conexiones a internet o Bluetooth.

¿Cuáles pueden ser las consecuencias de que los actores maliciosos accedan a estos dispositivos? Similares a los que listamos en el apartado anterior: robo de datos médicos, manipulación del funcionamiento de los equipos… A los que debemos sumar una amenaza muy inquietante: que los atacantes puedan saber dónde está una persona a través de los dispositivos médicos que emplea.

Por ejemplo, si un actor hostil puede saber si un CPAP inteligente está o no en funcionamiento, puede tener la certeza de que una persona se encuentra o no en su casa e, incluso, decidir realizar un robo en la misma durante su ausencia. Es decir, que la ciberseguridad de los dispositivos médicos puede convertirse en clave para evitar que los actores maliciosos lleguen a controlar dónde están sus víctimas. Esto es fundamental, sobre todo, cuando los targets son personas de interés como empresarios o líderes políticos.

6. Qué dice el reglamento MDR sobre la ciberseguridad de los dispositivos médicos

El reglamento europeo sobre productos sanitarios (MDR, por sus siglas en inglés), establece varios requisitos de ciberseguridad para los dispositivos médicos que emplean software y que las compañías que los desarrollan deben cumplir:

• Los equipos médicos deben ser «seguros y eficaces» y no comprometer «el estado clínico o la seguridad de los pacientes». Además, los riesgos asociados a ellos deben ser «aceptables en relación con el beneficio que proporcionen al paciente y compatibles con un nivel elevado de seguridad y protección de la salud».
• Los productos deben fabricarse «de modo que se reduzca al mínimo cualquier posible riesgo».
• Los productos que incluyan programas informáticos, como es el caso de numerosos dispositivos médicos, deben diseñarse «de modo que se garantice la repetibilidad, la fiabilidad y el funcionamiento en consonancia con el uso previsto». Además, es necesario tener en cuenta en su desarrollo «los principios de ciclo de vida del desarrollo, gestión de los riesgos, incluida la seguridad de la información, validación y verificación».
• Las instrucciones de uso de los dispositivos deben incluir las medidas de seguridad informática implementadas para protegerlos frente al acceso no autorizado.
• Las compañías que desarrollen dispositivos médicos deben implementar medidas de control de riesgos desde el diseño y conseguir eliminar o reducir los riesgos mediante procedimientos de diseño y fabricación seguros.
• Los fabricantes tienen que contar con un sistema de gestión de riesgos durante todo el ciclo de vida de un producto, incluyendo el desarrollo de actualizaciones sistemáticas periódicas.

Por lo tanto, los fabricantes están obligados a garantizar la ciberseguridad de los dispositivos médicos desde el diseño y a lo largo de su ciclo de vida.

7. Cómo se puede fortalecer la ciberseguridad de los dispositivos médicos

Más allá de las recomendaciones que hemos ido apuntando a lo largo de este artículo, es fundamental que tanto las compañías que desarrollan y comercializan equipamientos médicos dotados de software como los hospitales y centros que los utilizan recurran a servicios de ciberseguridad esenciales como:

• Pruebas de seguridad continuas: auditorías de código fuente, auditorías de seguridad IoT, evaluaciones de seguridad Bluetooth. La realización continua de estas pruebas es crítica para detectar vulnerabilidades presentes en los equipos antes de que sean explotadas por actores maliciosos.
• Gestión de vulnerabilidades. Tanto los desarrolladores de productos como los hospitales deben contar con un sistema eficaz para gestionar las vulnerabilidades presentes en los dispositivos, priorizar su mitigación teniendo en cuenta su potencial impacto y la probabilidad de que sean exploradas y actuar con la máxima diligencia ante vulnerabilidades emergentes.
• Pentesting. Los hospitales pueden someterse a test de intrusión avanzados para detectar vulnerabilidades críticas en sus equipamientos que puedan ser explotadas por actores maliciosos con el objetivo de inutilizar equipamientos, alterar su funcionamiento o extraer datos sensibles.
• Respuesta a incidentes. Las organizaciones del ámbito sanitario necesitan contar con un plan de respuesta a incidentes elaborado por un equipo de Incident Response. En un área tan sensible como la salud, no solo cuenta cada minuto, sino que actuar de forma poco diligente puede tener un impacto directo en el bienestar de las personas. Los servicios de respuesta a incidentes proactivos son capaces de identificar el alcance del compromiso, contener al actor malicioso, expulsarlo y garantizar que un hospital o un centro sanitario vuelvan a la normalidad en el menor tiempo posible y sin que sus funciones esenciales se vean afectadas.

En definitiva, los ciberataques contra el sector de la salud no solo consisten en ataques de ransomware para robar datos médicos e información personal y financiera de los pacientes. La ciberseguridad de los dispositivos médicos va a ser cada vez más relevante, habida cuenta de los grandes avances que se están haciendo a la hora de desarrollar tecnología que ayuda a proteger la salud de las personas.

Por eso, es fundamental que tanto los fabricantes de los dispositivos como las organizaciones del sector cuenten con estrategias para incrementar su resiliencia y fortalecer la ciberseguridad de los dispositivos médicos.