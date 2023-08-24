X
Akamai logo
+1-8774252624
+1-8774252624
Iniciar sesión
Control Center
Acceda a la plataforma de Akamai
Cloud Manager
Gestione su recursos de nube
Probar Akamai
¿Está sufriendo un ataque?
Iniciar sesión
Control Center
Acceda a la plataforma de Akamai
Cloud Manager
Gestione su recursos de nube

Protección de dispositivos médicos: nueva guía de H-ISAC en la antesala de la regla de la FDA

Primer plano de Carley Thornell

escrito por

Carley Thornell

August 24, 2023

Primer plano de Carley Thornell

escrito por

Carley Thornell

Carley Thornell es la estratega de Marketing del Sector para las ciencias de la salud y de la vida en Akamai. Cuenta con una amplia experiencia en liderazgo intelectual en el ámbito de la tecnología, como la dirección del equipo de investigación y estrategia de contenidos en uno de los sistemas de registros sanitarios electrónicos más importantes del país.

El cuarto trimestre destaca en todo el ecosistema sanitario por innumerables razones. Los aseguradoras tienen su temporada alta de inscripción abierta, y los proveedores compiten para completar los exámenes anuales de sus paneles de pacientes. 

En el sector de tecnología de la información sanitaria (HCIT), el otoño de 2023 también marca un hito importante: a partir del 1 de octubre, la Administración de Alimentos y Medicamentos (FDA) de EE. UU. ejercerá su autoridad para rechazar las presentaciones previas a la comercialización de los fabricantes de dispositivos médicos si no incluyen las capacidades de software de ciberseguridad y actualización.

Ya iba siendo hora. Según un informe reciente del FBI, el 53 % de los dispositivos médicos conectados y otros dispositivos del Internet de las cosas (IoT) de los hospitales presentan vulnerabilidades críticas conocidas; un tercio de los dispositivos sanitarios del IoT tienen un riesgo crítico identificado que podría afectar a su funcionamiento y funciones técnicas. 

Los dispositivos pirateados son un peligro para pacientes de todo el mundo

En particular, la American Hospital Association citó las advertencias de la FDA de que algunas bombas de insulina podrían estar en riesgo de ataque por parte de hackers. No se trata precisamente de una noticia nueva: en 2011, este problema salió en los titulares cuando un investigador del congreso Black Hat USA demostró cómo las bombas de insulina inalámbricas podrían ser objeto de un ataque remoto de tal manera que podría causar la muerte de los pacientes.

Sin embargo, dado el crecimiento exponencial de los dispositivos de HCIT, especialmente de tecnología de gestión de la diabetes, como se indica en el informe de mediados de 2023 de FitchSolutions sobre temas clave relacionados con los dispositivos médicos y las tendencias del mercado, los peligros podrían incrementarse. 

"Es una preocupación importante para el país, y también para otros países", declaró el Dr. Mark Jarrett, asesor superior de salud de Northwell Health a WNYW-TV New York, al decir que existe un "riesgo para la vida" de los pacientes. 

Las tecnologías heredadas son las más expuestas

La integración de dispositivos que realizan la monitorización remota de pacientes, administran medicamentos y proporcionan atención virtual ofrece enormes beneficios clínicos y financieros. 

Sin embargo, dado que la nueva ley de la FDA no se aplica a los millones de dispositivos médicos que ya se utilizan, es decir, a las tecnologías heredadas que carecen de actualizaciones de seguridad esenciales o protocolos de cifrado, existe una amplia superficie de ciberataque, lo que puede tener implicaciones en todo el ecosistema sanitario. 

"Hemos estado viviendo con ese riesgo y seguiremos viviendo con ese riesgo", también declaró Vikrant Arora, director de seguridad de la información de Hospital for Special Surgery (HSS), a WNYW. 

Planes de contingencia de respuesta ante incidentes

Sin embargo, a diferencia de muchos otros hospitales más pequeños, los que carecen de departamentos para supervisar y actualizar los sistemas, y los que tienen una  inestabilidad financiera que podría conducir al cierre , HHS cuenta con numerosos planes de contingencia. 

"En el caso de que un dispositivo se vea comprometido, existe una guía de respuesta sobre cómo responder ante un incidente sin que tenga un impacto significativo en la atención al paciente, añadió Arora. 

Esos protocolos están en consonancia con las recomendaciones del Centro de Análisis e Intercambio de Información Sanitaria (H-ISAC). El nuevo White paper de H-ISAC, Improving Medical Device Security by Moving From Shared to Defined Responsibility (Mejora de la seguridad de los dispositivos médicos pasando de la responsabilidad compartida a la responsabilidad definida) incluye orientación fundamental en torno a los complejos procesos de actualización, aplicación de parches y gestión de vulnerabilidades. 

Comunicación de las recomendaciones clave 

En el pasado, presentaba un desafío importante el hecho de que grupos como las organizaciones de atención sanitaria y los fabricantes de dispositivos médicos asumieran que tareas como el refuerzo, el control de acceso y la gestión de vulnerabilidades los gestionaría la otra parte, lo que daba lugar a vulnerabilidades no abordadas. 

La guía de H-ISAC incluye un enfoque más definido que propugna una mayor comunicación y trabajo en equipo para establecer una matriz de responsable/aprobador/consultado/informado (RACI). 

Las recomendaciones clave son: 

  • Definir las responsabilidades de las tareas entre las partes interesadas para reducir el riesgo general de fracaso 

  • Utilizar una matriz de asignación de responsabilidades para definir las obligaciones de las tareas para todas las partes que emplean dispositivos médicos (H-ISAC proporciona una plantilla global y personalizable recomendada)

  • Actualizar continuamente (y comunicar las actualizaciones) a las matrices 

  • Comprender la distribución de responsabilidades de las soluciones de software operativas, desde los dispositivos médicos de "caja negra" a los servicios en la nube

La falta de seguridad puede costar dinero y vidas

El informe de H-ISAC es posterior al aviso de CISA acerca del software no compatible o al final de su vida útil. Aunque es comprensible la falta de inversión de capital en nuevos equipos, especialmente en el caso de organizaciones con escasez de efectivo que se enfrentan a unos costes operativos desorbitados tras la pandemia, la historia muestra que los efectos de no abordar las posibles amenazas a la seguridad podrían ser críticos. 

Los ataques de ransomware tienen como objetivo las vulnerabilidades

En 2017, piratas informáticos norcoreanos explotaron una vulnerabilidad de Windows (denominada EternalBlue) en los ataques de ransomware WannaCry. Aunque Microsoft aplicó un parche para esta vulnerabilidad, las ediciones no compatibles, como Windows XP y Windows 8, eran vulnerables. 

Se calcula que el 90 % del Servicio Nacional de Salud (NHS) del Reino Unido empleaba Windows XP, un sistema operativo que Microsoft dejó de actualizar en 2014. Los ataques de WannaCry obligaron a los centros del NHS a cancelar miles de citas y operaciones programadas, con unas implicaciones financieras de aproximadamente 92 millones de libras esterlinas

El peligro de las contraseñas predeterminadas

A pesar de los ataques de alto perfil, El IDC señaló recientemente que "no es extraño que los dispositivos médicos conserven aún sus contraseñas y ajustes predeterminados, los cuales pueden descubrirse fácilmente en los manuales publicados online por los atacantes". 

El informe de CISA menciona que el uso de contraseñas y credenciales fijas o predeterminadas es "peligroso y eleva significativamente el riesgo para la seguridad nacional, la seguridad económica nacional, y la salud pública y la seguridad nacionales". La agencia gubernamental de EE. UU. también emitió el mismo aviso con respecto al uso de la autenticación de factor único para el acceso remoto o administrativo a los sistemas que respaldan el funcionamiento de la "infraestructura crítica y las Funciones Críticas Nacionales (NCF) designadas". 

Prevención, protección y capacitación

Akamai puede ayudarle con estas cuestiones:

  • Evite el robo de cuentas de las cuentas empleados y las filtraciones de datos con Akamai MFA, nuestra solución de autenticación multifactor a prueba de phishing (MFA). 

  • Proteja a su plantilla híbrida al mismo tiempo que mejora el acceso con Akamai Enterprise Application Access

  • Dote a sus equipos de TI del sector sanitario de un enfoque que prioriza la prevención en lugar de un enfoque solo de alerta, independientemente de si los dispositivos son heredados o nuevos, gracias a un modelo de seguridad Zero Trust: el enfoque más completo de todos cuando los dispositivos que en principio nunca debían conectarse a nada ahora deben conectarse a casi todo.

La prevención puede ser en realidad la mejor medicina (en diversos aspectos) en el sector sanitario.

Más información
Primer plano de Carley Thornell

escrito por

Carley Thornell

August 24, 2023

Primer plano de Carley Thornell

escrito por

Carley Thornell

Carley Thornell es la estratega de Marketing del Sector para las ciencias de la salud y de la vida en Akamai. Cuenta con una amplia experiencia en liderazgo intelectual en el ámbito de la tecnología, como la dirección del equipo de investigación y estrategia de contenidos en uno de los sistemas de registros sanitarios electrónicos más importantes del país.

Entradas de blog relacionadas

Cualquier sistema que sufre interrupciones, se desconecta o puede verse fácilmente saturado por un ataque sofisticado es completamente inútil.
Cualquier sistema que sufre interrupciones, se desconecta o puede verse fácilmente saturado por un ataque sofisticado es completamente inútil.
Seguridad

Quítate de en medio, DDoS: Ha llegado la era de los ataques distribuidos de denegación de defensa (DDoD)

September 16, 2025
Los sofisticados ataques DDoS con IA pueden reducir sus defensas incluso con un volumen moderado. Estamos ahora en la era de denegación de defensa.
por Sven Dummer, Sandeep Rath, y Dennis Birchard
Más información
A la hora de mitigar y contener los posibles ataques rápidamente, es importante aplicar un enfoque multicapa.
A la hora de mitigar y contener los posibles ataques rápidamente, es importante aplicar un enfoque multicapa.
Blogs

Una brecha expone las vulnerabilidades de la IA y las API en las cadenas de suministro de software

September 04, 2025
Las cadenas de suministro de software están expuestas a vulnerabilidades que pueden no ser evidentes en el momento de elegir el proveedor principal. Las protecciones de seguridad por capas pueden ayudarle a mitigar las vulneraciones.
por Christine Ross
Más información
Los incidentes relacionados con API ya no se consideran problemas técnicos aislados. Se trata de fallos de conformidad con consecuencias normativas.
Los incidentes relacionados con API ya no se consideran problemas técnicos aislados. Se trata de fallos de conformidad con consecuencias normativas.
Seguridad

Seguridad de API bajo escrutinio federal: una llamada de atención para los directores de TI

June 13, 2025
Aprenda a adoptar un enfoque intencional y estructurado en seguridad de las API para cumplir con las crecientes normativas y reducir la exposición al riesgo.
por Stas Neyman
Más información