Casi medio millón de marcapasos han sido retirados por la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA, por sus siglas en inglés) debido al temor de que su vulnerable ciberseguridad podría ser hackeada para reducir la batería o incluso alterar los latidos del corazón del paciente.
El retiro no incluye a los marcapasos ya implantados, que sería un procedimiento médico invasivo y peligroso para las 465.000 personas que los han implantado: en su lugar, el fabricante publicó una actualización del firmware que será aplicada por personal médico para corregir los problemas de la seguridad.
Seis tipos de marcapasos, todos fabricados por la firma de salud Abbott y vendidos bajo la marca St Jude Medical, están afectados por el retiro. Todos ellos son marcapasos cardíacos implantables controlados por radio, instalados en pacientes con latidos cardíacos lentos o irregulares, así como aquellos que se recuperan de unainsuficiencia cardíaca.
No ha habido informes de acceso no autorizado un dispositivo implantado del paciente, según Abbott. La FDA dice que la vulnerabilidad permite a un usuario no autorizado acceder a un dispositivo utilizando equipo comercial y reprogramarlo. Los hackers podrían entonces ejecutar la batería de forma deliberada, o realizar “administración de estimulación inadecuada”. Ambos podrían, en el peor de los casos, resultar en la muerte de un paciente afectado.
El Departamento de Seguridad Nacional de Estados Unidos dijo que “se recomienda que los proveedores de atención médica discutan esta actualización con sus pacientes y consideren cuidadosamente el riesgo potencial de un ataque cibernético junto con el riesgo de realizar una actualización de firmware”.
Robert Ford, vicepresidente ejecutivo de dispositivos médicos de Abbott, dijo: “Todas las industrias deben estar constantemente vigilantes contra el acceso no autorizado. Este no es un proceso estático, por lo que estamos trabajando con otros en el sector de la salud para asegurarnos de que estamos abordando proactivamente temas comunes para avanzar más en la seguridad de los dispositivos y sistemas”.
Fue la segunda ronda de actualizaciones para implantes cardíacos que Abbott ha anunciado desde que compró el fabricante de dispositivos médicos St. Jude Medical a principios de este año.
Las debilidades fueron descubiertas por MedSec, una empresa de ciberseguridad que se especializa en la investigación de vulnerabilidades en los dispositivos médicos y las industrias de la salud. No son las primeras debilidades que la compañía ha encontrado en los productos de St Jude Medical, y anteriormente había sido objeto de una demanda de SJM por revelar tales vulnerabilidades.
Esta es la segunda ronda de actualizaciones para los implantes cardíacos emitidos por Abbott desde que adquirió SJM en enero de este año.
MedSec llegó a los titulares en 2016 por su enfoque poco convencional de la seguridad de la información. Al descubrir fallas en los dispositivos de St Jude Medical, compartió la información con una firma de inversión, Muddy Waters Capital, que luego vendió la acción a corto plazo, con la esperanza de ganar dinero con el eventual golpe financiero que la compañía tomaría cuando se divulgaran los problemas.
“Reconocemos que nuestra salida de las prácticas tradicionales de ciberseguridad atraerá críticas, pero creemos que esta es la única manera de estimular a St Jude Medical a actuar”, dijo la entonces directora ejecutiva de la compañía, Justine Bone.
En un comunicado, Abbott dijo: “El riesgo de piratería es extremadamente bajo, de hecho, el Departamento de Seguridad Nacional de Estados Unidos dijo que comprometer la seguridad de estos dispositivos requeriría un complejo conjunto de circunstancias. La FDA y Abbott recomiendan que los pacientes hablen con sus médicos durante su próxima visita regular programada sobre la actualización del firmware”.
Fuente: The Guardian