Ciertas bombas de insulina retiradas del mercado debido a problemas de Ciberseguridad
En un movimiento poco común, la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) advirtió el jueves a los pacientes y proveedores de atención médica que el fabricante de dispositivos médicos Medtronic ha emitido un retiro voluntario de ciertas bombas de insulina inalámbricas debido a vulnerabilidades de ciberseguridad que no pueden solucionarse adecuadamente y, por lo tanto, plantean problemas de seguridad.
“Si bien no estamos al tanto de los pacientes que pueden haber resultado perjudicados por esta vulnerabilidad de seguridad cibernética en particular, el riesgo de daño al paciente si dicha vulnerabilidad no se resuelve es significativo”, dice Suzanne Schwartz, MD, subdirectora de la oficina de alianzas estratégicas de la FDA y la innovación tecnológica.
La FDA ha emitido advertencias sobre retiros voluntarios de dispositivos médicos debido a problemas de ciberseguridad en solo unos pocos casos.
Riesgos de ciberseguridad
En un comunicado, la FDA dice que está advirtiendo a los pacientes y a los proveedores de atención médica que ciertas bombas de insulina Medtronic MiniMed tienen riesgos potenciales de ciberseguridad. “Los pacientes con diabetes que usan estos modelos deben cambiar su bomba de insulina a modelos que están mejor equipados para protegerse contra estos riesgos potenciales”, dice la FDA.
Los riesgos potenciales están relacionados con la comunicación inalámbrica entre las bombas de insulina MiniMed de Medtronic y otros dispositivos como medidores de glucosa en sangre, sistemas de monitoreo continuo de glucosa, el control remoto y el dispositivo USB CareLink utilizado con estas bombas, advierte la FDA.
“A la FDA le preocupa que, debido a las vulnerabilidades de ciberseguridad identificadas en el dispositivo, alguien que no sea un paciente, cuidador o proveedor de atención médica pueda potencialmente conectarse de forma inalámbrica a una bomba de insulina MiniMed cercana y cambiar la configuración de la bomba. Esto podría permitir a una persona realizar una entrega excesiva. “la insulina a un paciente, lo que lleva a un bajo nivel de azúcar en la sangre (hipoglucemia), o para detener la administración de insulina, lo que lleva a un alto nivel de azúcar en la sangre y cetoacidosis diabética (una acumulación de ácidos en la sangre)”, dice la declaración de la agencia.
La FDA ha advertido sobre el retiro voluntario de dispositivos médicos debido a problemas de ciberseguridad en solo un puñado de casos.
Schwartz señala: “La FDA insta a los fabricantes de todo el mundo a mantenerse atentos a sus productos médicos, a monitorear y evaluar el riesgo de vulnerabilidad de la ciberseguridad y a ser proactivos a la hora de revelar vulnerabilidades y mitigaciones para enfrentarlos”.
La FDA señala que cualquier dispositivo médico conectado a una red de comunicaciones, como Wi-Fi o Internet, puede tener vulnerabilidades de seguridad informática que podrían ser explotadas por usuarios no autorizados.
Miles de pacientes afectados
Las bombas retiradas son la bomba de insulina MiniMed 508 de Medtronic y las bombas de insulina MiniMed Paradigm series.
Medtronic proporciona bombas de insulina alternativas a pacientes con capacidades mejoradas de ciberseguridad incorporadas, informa la FDA.
En los EE. UU., Medtronic ha identificado a 4,000 pacientes que potencialmente están usando bombas de insulina que son vulnerables a este problema. Además, Medtronic está trabajando con socios distribuidores para identificar pacientes adicionales que puedan usar estas bombas, dice la FDA.
En una declaración proporcionada a Information Security Media Group, la FDA dice: “Medtronic no puede actualizar adecuadamente las bombas de insulina MiniMed 508 y Paradigm con ningún software o parche para abordar las vulnerabilidades de los dispositivos. La FDA está trabajando para asegurar que Medtronic aborde esto “El problema de la ciberseguridad, que incluye ayudar a los pacientes con bombas de insulina afectadas a cambiar a modelos más nuevos con mejores controles de ciberseguridad. La FDA mantendrá al público informado si se dispone de nueva información significativa”.
Medtronic , que emitió una declaración sobre el tema, dice que ha comenzado a enviar cartas a los pacientes afectados.
En sus cartas a pacientes afectados, Medtronic dice: “Debido a este problema potencial de ciberseguridad, le recomendamos que hable con su proveedor de atención médica sobre el cambio a un modelo más nuevo de bomba de insulina con mayor protección de ciberseguridad, como la bomba de insulina MiniMed 670G”.
El Equipo de Respuesta a Emergencias Informáticas de los Sistemas de Control Industrial del Departamento de Seguridad Nacional emitió su propia alerta sobre la “vulnerabilidad de control de acceso inadecuado” de las bombas Medtronic, que señala que fue identificada por investigadores de seguridad independientes.
En su alerta, el DHS señala: “Las bombas de insulina afectadas están diseñadas para comunicarse utilizando una RF inalámbrica con otros dispositivos, como medidores de glucosa en sangre, transmisores de sensores de glucosa y dispositivos USB CareLink. Este protocolo de comunicación por RF inalámbrico no implementa correctamente la autenticación o autorización. Un atacante con acceso adyacente a uno de los modelos de bomba de insulina afectados puede inyectar, reproducir, modificar y / o interceptar datos. Esta vulnerabilidad también podría permitir a los atacantes cambiar la configuración de la bomba y controlar el suministro de insulina “.
Pasos para mitigar el riesgo
Para minimizar el riesgo potencial de un ataque de ciberseguridad mientras se espera una bomba de reemplazo, la FDA y Medtronic están instruyendo a los pacientes a:
- Mantenga su bomba de insulina y los dispositivos que están conectados a la bomba dentro de su control en todo momento;
- Evite compartir el número de serie de la bomba con nadie;
- Esté atento a las notificaciones de bombeo, alarmas y alertas;
- Controle de cerca sus niveles de glucosa en la sangre y actúe adecuadamente
- Cancele inmediatamente cualquier bolus no deseado (comandos de dosificación);
- Conecte su bomba de insulina Medtronic solo a otros dispositivos y software de Medtronic;
- Desconecte el dispositivo USB de su computadora cuando no lo esté usando para descargar datos de su bomba.
En sus advertencias, la FDA señala que los dispositivos Medtronic afectados se conectan de forma inalámbrica tanto al medidor de glucosa en sangre de los pacientes (que mide los niveles de glucosa en sangre de un paciente en un momento determinado) como al sistema de monitoreo continuo de glucosa, un sensor y transmisor que rastrea la glucosa de un paciente. Niveles a lo largo del día.
“El control remoto y CareLink USB, un dispositivo inalámbrico del tamaño de un pulgar que se conecta a una computadora, se usan con las bombas de insulina afectadas”, señala la FDA. “Un paciente puede usar el control remoto para enviar comandos de bolo de insulina (dosificación) a la bomba de insulina de forma remota y puede usar el USB de CareLink para descargar datos sobre sus niveles de glucosa desde su bomba de insulina para monitorear su propio progreso y compartirlo con su proveedor de atención médica. . “
Fuente: careersinfosecurity