La FDA aprobó una actualización de firmware para los marcapasos de Abbott, 350.000 de los pacientes están afectados debido a la vulnerabilidad respecto a ciberataques.
La Administración de Alimentos y Medicamentos de EEUU (FDA) aprobó el mes pasado una actualización del firmware para los marcapasos fabricados por Abbott (anteriormente St Jude Medical) que eran vulnerables a ciberataques y que corrían el peligro de sufrir una pérdida súbita de batería.
Unos 350.000 pacientes están afectados, a los que la FDA recomienda que actualicen el firmware “en su próxima visita programada o cuando consideren apropiado según las preferencias del paciente y del médico”.
Los marcapasos son unos pequeños dispositivos que ayudan a controlar los latidos irregulares. Las vulnerabilidades de ciberseguridad se detectaron en los desfibriladores cardioversores implantables (IDC) y en los dispositivos para terapia de resincronización cardíaca (CRT-Ds) de radio frecuencia (RF-).
Los problemas con los dispositivos de St Jude Medical ya vienen de largo. En septiembre de 2016, la empresa demandó a la firma de seguridad en el Internet de las Cosas (IoT) MedSec por difamación después de publicar lo que St Jude consideraba una información falsa sobre bugs en sus equipos.
En enero de 2017, cinco meses después de que la FDA y el Departamento de Seguridad Nacional de los EEUU (DHS) iniciaran pruebas sobre las reclamaciones de que los marcapasos y la tecnología de monitorización cardíaca de St Jude Medical eran vulnerables a ataques, expertos de Bishop Fox confirmaron la validez de los datos de MedSec. La empresa a regañadientes retiró las demandas judiciales y buscó soluciones a las vulnerabilidades.
Las actualizaciones de enero eran para el sistema de monitoreo remoto Merlin, que se emplea en marcapasos implantados y desfibriladores. El experto en criptografía Matthew Green, describía el escenario de las vulnerabilidades en marcapasos como una pesadilla.
Hasta la fecha, no hay informes sobre pacientes que han sido dañados por estas vulnerabilidades, tanto por los sistemas Merlin como por los ICDs y CRT-Ds que aparecen en el último aviso de seguridad.
Afortunadamente, la actualización no conlleva cirugía a corazón abierto, aunque si requiere una visita en persona al médico. No puede ser realizada en casa vía Merlin.net. La actualización del firmware lleva 3 minutos, durante los que el marcapasos funcionara en modo de respaldo a 67 latidos por minuto.
Abbott dijo que con cualquier actualización de firmware existe una ‘muy pequeña’ posibilidad de riesgo de fallo técnico. Basado en la experiencia que tienen de actualizaciones previas de firmware como la de agosto de 2017 y la similitud en los procesos de actualización, Abbott dijo que instalar el firmware actualizado en los ICDs y CRT-Ds podía potencialmente producir los siguientes fallos:
- Malestar debido a la configuración de respaldo
- Cargar la versión anterior debido a una actualización incompleta
- Imposibilidad de tratar una taquicardia/fibrilación ventricular mientras se esté en el modo de respaldo
- El dispositivo permanezca en el modo de respaldo debido a una actualización fallida
- Perdida de la configuración actual del dispositivo o de los datos de diagnóstico
La FDA dijo que nada malo ocurrió a los pacientes en la actualización de firmware de agosto de 2017. Alrededor del 0,62% de los dispositivos sufrieron una actualización incompleta y permanecieron en el modo de respaldo, pero en todos los caso los dispositivos volvieron a la versión anterior o se actualizaron satisfactoriamente después de que interviniera el servicio técnico.
El FDA dice que una actualización en el programa debería solucionar estos casos anecdóticos. También, un pequeño porcentaje (0,14%) de los pacientes se quejaron de malestar mientras el dispositivo estaba en modo de respaldo.
