Johnson & Johnson advierte vulnerabilidad de hackeo de una de sus bombas de insulina
La compañía explica que es una posibilidad mínima, por la cercanía que se debería tener con el aparato, pero de lograrse, podría llevar a pacientes a recibir dosis extra de insulina con riesgos para su salud.
Reuters. Johnson & Johnson está informando a sus pacientes que descubrieron una vulnerabilidad de seguridad en una de sus bombas de insulina que un hacker podría explotar para dar una sobredosis de insulina a pacientes diabéticos, a pesar de que describe que el riesgo es bajo.
Expertos de dispositivos médicos dijeron que creen que era la primera vez que un fabricante ha emitido tal advertencia a los pacientes acerca de una vulnerabilidad cibernética, un tema candente en la industria tras las revelaciones el mes pasado acerca de los posibles errores en los marcapasos y los desfibriladores.
Ejecutivos de J & J dijeron a Reuters que no sabían de ejemplos de intentos de ataques de hackers al dispositivo, la bomba de insulina de J & J Animas OneTouch Ping. La compañía advierte a los clientes y ofrece consejos sobre cómo solucionar el problema.
"La probabilidad de un acceso no autorizado al sistema OneTouch Ping es extremadamente baja", dijo la compañía en cartas enviadas el lunes 3 de octubre a los médicos y a alrededor de 114.000 pacientes que usan el dispositivo en los Estados Unidos y Canadá.
"Se requeriría de conocimientos técnicos, equipos sofisticados y la proximidad a la bomba, ya que el sistema OneTouch Ping no está conectado a Internet o a cualquier otra red externa."
Las bombas de insulina son dispositivos médicos que los pacientes se adhieren a sus cuerpos y que inyectan la insulina a través de catéteres.
El Animas OneTouch Ping, que fue lanzado en 2008, se vende con un control remoto inalámbrico que los pacientes pueden utilizar para programar la bomba para que dosifique la insulina, de manera que no necesitan tener acceso al dispositivo en sí, que por lo general se lleva bajo la ropa y puede ser difícil de alcanzar.
Jay Radcliffe, un diabético e investigador de la firma de seguridad cibernética Rapid7 Inc, señaló que había identificado formas para que un hacker simule la comunicación entre el control remoto y la bomba de insulina OneTouch Ping, lo que podría obligar a entregar inyecciones de insulina no autorizadas.
El sistema es vulnerable porque esas comunicaciones no están encriptadas o codificadas, para evitar que los hackers puedan acceder al dispositivo, dijo Radcliffe, quien informó de vulnerabilidades en la bomba de J & J en abril y los publicó en el blog Rapid7 el martes.
Ejecutivos de J & J dijeron que trabajaron en los temas de seguridad con Radcliffe.
Dosificar a un paciente con un exceso de insulina puede causar hipoglucemia, o bajo nivel de azúcar en la sangre, que en casos extremos puede ser peligrosa para la vida, indicó Brian Levy, director médico de la unidad de diabetes de J & J.
Técnicos de la empresa fueron capaces de replicar los hallazgos de Radcliffe, que confirma que un hacker podría programar la bomba para dosificar insulina desde una distancia de hasta 25 pies, señaló Levy. Dijo que este tipo de ataques son difíciles de lograr debido a que requieren conocimientos técnicos especializados y equipos sofisticados.
"Creemos que el sistema OneTouch Ping es seguro y confiable. Instamos a los pacientes a permanecer con el producto", indicó Levy.
La carta de J & J decía que si los pacientes estaban preocupados, podrían tomar varias medidas para frustrar los ataques potenciales. Ellos incluyen la suspensión del uso de un mando a distancia inalámbrico y programar la bomba para limitar la dosis máxima de insulina.
Guía de la FDA sobre dispositivos médicos
En agosto, un vendedor prominente y una firma de investigación de seguridad cibernética hicieron públicas las acusaciones de vulnerabilidades cibernéticas que potencialmente amenazan la vida en los dispositivos del corazón de St. Jude Medical Inc.
Ya que sus acciones se desplomaron, St. Jude comentó que las acusaciones eran falsas, y la Food and Drug Administration (FDA) de EE.UU. inició una investigación.
La FDA está preparando directrices oficiales para emitir sobre cómo los fabricantes de dispositivos médicos deben manejar los informes acerca de las vulnerabilidades cibernéticas.
Un primer borrador de esa guía, que fue lanzado en enero para comentarios públicos, llamó a los fabricantes de dispositivos a trabajar con investigadores de seguridad, identificar medidas para mitigar los riesgos, y proporcionar a los pacientes información acerca de los errores para que puedan "tomar decisiones informadas" sobre el uso de dispositivos.
La FDA se negó a comentar sobre el manejo de la vulnerabilidad en la bomba de insulina de J&J.
J&J expresó que había examinado el asunto con la FDA antes de enviar las cartas. Radcliffe señaló que creía que los usuarios del OneTouch Ping estarían a salvo si seguían los pasos descritos en las cartas de J&J.
"Pueden dar tranquilidad para el paciente o el padre de un niño que usa el dispositivo", agregó.
La Directora de Seguridad de J&J Marene Allison dijo que su equipo se aseguraría de que otros productos de J&J no tengan errores similares.
Radcliffe expresó que había encontrado vulnerabilidades en el Animas OneTouch Ping, pero no en la línea Animas Vibe de las bombas de insulina.
Suzanne Schwartz, un funcionario de la FDA responsable de revisar errores en dispositivos médicos, señaló en un comunicado que se fomenta la colaboración entre los investigadores y fabricantes de dispositivos para identificar, remediar y alertar al público sobre vulnerabilidades.
"Permite a todas las partes identificar mejor la seguridad de los dispositivos con el interés de la salud del paciente en mente", señaló.
La FDA ha dicho que no conoce ningún caso en que los hackers hayan explotado vulnerabilidades cibernéticas para hacer daño al paciente.
La agencia emitió el año pasado varias advertencias acerca de los errores cibernéticos en bombas de infusión de Hospira, que ya ha sido adquirido por Pfizer Inc.
Comentarios