La Agencia del Medicamento de Estados Unidos (FDA por sus siglas en inglés) está informando a los pacientes, proveedores de atención médica y fabricantes sobre un conjunto de vulnerabilidades de ciberseguridad, denominado 'SweynTooth', que, si se explota, puede presentar riesgos para ciertos dispositivos médicos.
Concretamente, según ha explicado el regulador estadounidense en un comunicado, SweynTooth afecta la tecnología de comunicación inalámbrica conocida como Bluetooth Low Energy (BLE). Esta tecnología permite que dos dispositivos se vinculen e intercambien información para realizar sus funciones previstas, preservando la vida útil de la batería, y se pueden encontrar en dispositivos médicos, así como en otros dispositivos, como dispositivos de consumo y dispositivos de Internet de las cosas. Estas vulnerabilidades de ciberseguridad pueden permitir que un usuario no autorizado bloquee el dispositivo de forma inalámbrica, evite que funcione o acceda a las funciones del dispositivo que normalmente solo están disponibles para el usuario autorizado.
Hasta la fecha, la FDA no tiene conocimiento de ningún evento adverso confirmado relacionado con estas vulnerabilidades. Sin embargo, el software para explotar estas vulnerabilidades en ciertas situaciones está disponible públicamente. Por ello, el objetivo de la FDA es proporcionar información adicional sobre el origen de estas vulnerabilidades y recomendaciones para reducir o evitar los riesgos que las vulnerabilidades pueden representar para una variedad de dispositivos médicos como pueden ser marcapasos, monitores de glucosa y dispositivos de ultrasonido.
"Los dispositivos médicos están cada vez más conectados, y los dispositivos conectados tienen riesgos inherentes, que los hacen vulnerables a las brechas de seguridad. Estas infracciones pueden afectar la seguridad y la eficacia del dispositivo y, si no se solucionan, pueden provocar daños a los pacientes", ha dicho Suzanne Schwartz, subdirectora de la Oficina de Asociaciones Estratégicas e Innovación Tecnológica en el Centro de Dispositivos de la FDA y Salud Radiológica.
Los fabricantes de dispositivos médicos ya están evaluando qué dispositivos pueden verse afectados por SweynTooth y están identificando acciones de riesgo y remediación
"La FDA recomienda que los fabricantes de dispositivos médicos permanezcan alertas ante las vulnerabilidades de ciberseguridad y las aborden de manera proactiva participando en la divulgación coordinada de vulnerabilidades y proporcionando estrategias de mitigación. Una parte esencial de la estrategia de la FDA es trabajar con fabricantes, organizaciones de atención médica, investigadores de seguridad, otras agencias gubernamentales y pacientes para abordar las preocupaciones de seguridad cibernética que afectan los dispositivos médicos para mantener a los pacientes seguros", ha subrayado Schwartz.
MEDIDAS DE PREVENCIÓN
La FDA está al tanto de varios fabricantes de microchips que se ven afectados por estas vulnerabilidades: Texas Instruments, NXP, Cypress, Dialog Semiconductors, Microchip, STMicroelectronics y Telink Semiconductor. Sus microchips pueden estar en una variedad de dispositivos médicos como aquellos implantados o usados por un paciente (como marcapasos, estimuladores, monitores de glucosa en sangre y bombas de insulina) o dispositivos más grandes que se encuentran en centros de atención médica (como electrocardiogramas, monitores y dispositivos de diagnóstico como dispositivos de ultrasonido).
Los fabricantes de dispositivos médicos ya están evaluando qué dispositivos pueden verse afectados por SweynTooth y están identificando acciones de riesgo y prevención. Además, varios fabricantes de microchips ya han lanzado parches.
La agencia está pidiendo a los fabricantes de dispositivos médicos que comuniquen a los proveedores de atención médica y a los pacientes qué dispositivos médicos podrían verse afectados por SweynTooth y las formas de reducir el riesgo asociado. Los pacientes deben hablar con sus proveedores de atención médica para determinar si su dispositivo médico podría verse afectado y buscar ayuda de inmediato si creen que su dispositivo médico no funciona como se esperaba.