Alertan sobre marcapasos que pueden ser hackeados
Por Alejandra Folgarait
El riesgo de hackeo de dispositivos cardíacos implantables ya no es sólo un tema de ciencia ficción. Ahora, la posibilidad de vulnerar la programación de algunos aparatos que mantienen el ritmo cardíaco es una realidad, según advirtieron expertos en Estados Unidos. Ante esta situación, la ANMAT informó que está monitoreando en la Argentina los marcapasos que podrían ser hackeados a distancia.
Si bien no se ha registrado hasta el momento ningún caso en el que un hacker haya intentado modificar un marcapasos colocado en un paciente, el laboratorio Abbott -que compró recientemente la empresa St. Jude Medical- solicitó que casi 500.000 pacientes consulten a sus médicos para realizar una actualización de seguridad de sus equipos. Los dispositivos que requieren una actualización del software son los marcapasos identificados como: Accent SR RF ™, Accent ST ™, Accent MRI ™, Accent ST MRI ™, Assurity™, Accent RF ™, Anthem RF ™, Allure RF ™, Allure Quadra RF ™, Quadra Allure MP RF ™, Quadra Allure ™ y Quadra Allure MP ™.
Por su parte, la Food and Drug Administration (FDA) de Estados Unidos emitió un alerta de ciberseguridad sobre los marcapasos St. Jude manejados por radiofrecuencia (RF). La FDA aprobó la actualización del firmware y la acción correctiva (recall) propuesta por Abbott, y aclaró que no es necesario remover los marcapasos.
Las actualizaciones de seguridad de los dispositivos diseñados por St. Jude Medical se están realizando por etapas. En enero de 2017, Abbott anunció una actualización para el sistema Merlin, que permite programar marcapasos y cardiodesfibriladores a distancia. El sistema Merlin también cuenta con terminales de monitoreo hogareño, que envían datos sobre el ritmo cardíaco de cada paciente al consultorio médico, y que también deben recibir una actualización de seguridad. A fines de agosto pasado, Abbott informó sobre una segunda actualización. Ahora, lanzó una convocatoria para que 465.000 pacientes que tienen dispositivos con radiofrecuencia consulten a su médico para decidir si necesitan un update.
El riesgo de hackeo reside, básicamente, en la posibilidad de que una persona por fuera del equipo médico acceda remotamente al software de los marcapasos implantados y los reprograme para que aceleren su ritmo o agoten sus baterías rápidamente. La posibilidad real de penetrar en el sistema de los marcapasos fue demostrada por especialistas en ciberseguridad independientes, que lo hicieron público meses atrás. Ahora, el hackeo podría ser prevenido mediante “parches” de software que pueden introducir los propios electrofisiólogos durante una visita en el consultorio.
El procedimiento de corrección del software no llevaría más que unos minutos, durante los cuales el marcapasos funcionará en modo backup. Según Abbott, la actualización del software no borrará los datos existentes y el marcapasos volverá a los parámetros establecidos para cada paciente una vez terminada la actualización.
De todos modos, existe un pequeño riesgo de que el marcapasos funcione mal tras la actualización. La estimación del riesgo, según Abbott, es la siguiente:
Recarga de la versión anterior del firmware debido a una actualización incompleta (0.161%).
Pérdida de la configuración del dispositivo actualmente programada (0,023%).
Pérdida completa de la funcionalidad del dispositivo (0,003%).
Pérdida de los datos de diagnóstico (no informados).
Debido a estos riesgos, Abbott recomienda una evaluación por parte del médico y el paciente a la hora de hacer la actualización, tomando en cuenta que ésta no es obligatoria. El parche de seguridad para los marcapasos recién estará disponible en la Argentina en el mes de noviembre.
“En principio, me parece apresurado hacer esta actualización del software de los marcapasos porque no está demostrado que se puedan hackear en pacientes”, evalúa César Cáceres Monié, director del Consejo de Electrofisiología de la SAC. “Hay que aclarar que siempre podemos hacer telemetría y controlar el funcionamiento de los marcapasos y que, en los casos en que la telemetría se realiza por WIFI, las frecuencias son muy específicas. Cada marcapasos tiene una clave propia (firmware) que es específica y habría que acceder a ella para modificar la programación, algo extremadamente difícil”, afirma el cardiólogo.
Marcapasos con WIFI
El riesgo de hackeo es una preocupación en los marcapasos más modernos, no en los tradicionales. “Antes los marcapasos se programaban mediante un sistema de inducción magnética conectado a un aparato programador. Ahora, los más modernos pueden programarse a través de radiofrecuencia o conexiones WI-FI”, explica el electrofisiólogo Alejandro Villamil.
“Si bien los marcapasos, cardiodesfibriladores y resincronizadores que se controlan de manera inalámbrica tienen incorporadas medidas de seguridad, ahora se sabe que el firmware que funciona como una llave de acceso puede ser vulnerable en algunos casos y por eso se busca prevenirlo”, señala el especialista de la SAC, quien subraya que “no ha habido ningún reporte de una intrusión real en marcapasos y la FDA sólo indicó que hay chances hipotéticas de que ocurra”.
“Si el paciente no tiene una absoluta dependencia del dispositivo –es decir, si no tiene un bloqueo aurículoventricular completo y tiene ritmos de escape- creo que no vale la pena hacer la actualización en este momento”, reflexiona Villamil. “Hay que evaluar cada caso y transmitir tranquilidad a los pacientes”, dice el electrofisiólogo. Coincide Cáceres Monié: “No se justifica por ahora hacer un update del software de los marcapasos, tenemos que esperar para ver qué ocurre en el futuro”.
Si bien los dispositivos de última generación que se controlan inalámbricamente no son los de uso más frecuente en la Argentina, se estima que puede haber centenares de pacientes que tienen marcapasos programables mediante radiofrecuencia en el país. Aunque otros fabricantes de marcapsos implantables no han declarado problemas de seguridad, especialistas en informática alertan que, en principio, cualquier equipo conectado por WIFI, Blutooth o radiofrecuencia podría estar en riesgo de hackeo.
Incluso los turnos médicos, los servicios de emergencias y las historias electrónicas de los hospitales hoy pueden verse afectados por virus introducidos en forma remota por hackers, como ocurrió recientemente en Gran Bretaña y otros países desarrollados.
En cualquier caso, ya no se trata de fantasías televisivas como las de Homeland o novelas de suspenso como la flamante Biovigilados. El riesgo, según la FDA, es real. En la nueva era de la “Internet of Things”, la mayoría de los aparatos podrán comunicarse entre sí y algunos hasta se manejarán en forma autónoma. Quizás sea mejor prevenir posibles intromisiones malsanas en los dispositivos que curar a los pacientes una vez que las padezcan.