Los dispositivos médicos conectados crean grandes superficies de ataque que aumentan la probabilidad de éxito de las amenazas cibernéticas. Esto representa un gran desafío para las soluciones de confianza digital que requieren tales dispositivos. En un informe publicado en 2022, el FBI citó investigaciones que muestran que 53% de los dispositivos médicos tenían vulnerabilidades conocidas. De hecho, 40% de tales dispositivos al final de su vida útil ofrecen pocas o ninguna actualización o parches de seguridad.

Lo anterior abarca a todos los dispositivos conectados a las redes hospitalarias, incluidos los que integran la Internet de las Cosas Médicas (Internet of Medical Things, IoMT). Impulsado por los avances tecnológicos, el mercado de la IoMT en Latinoamérica se valoró en 6,510 millones de dólares en 2021. Se espera que tenga una tasa de crecimiento anual compuesta de 24.3% durante el lustro 2023-2028. Según Fortune Business Insights, el mercado global de la IoMT aumentará a casi 188,000 millones de dólares en 2028, cuadruplicando su valor desde 2020.

Tecnología médica y confianza digital

Es un hecho que la IoMT crea extensas superficies de ataque. Este escenario incluso ya sido explorado en la cultura popular. El investigador Marc Goodman describe en su libro Future Crimes las dificultades de investigar un ataque a los dispositivos médicos conectados: «Es posible que la evidencia de manipulación de los dispositivos médicos ni siquiera esté ubicada en el cuerpo, donde el forense está acostumbrado a encontrarla; más bien, podría estar a miles de kilómetros de distancia, al otro lado del océano, en un servidor informático extranjero», escribió.

«Hay muchas otras formas, aunque menos espectaculares, en que los actores de amenazas pueden infiltrarse en la IoMT», señala Dean Coclin, director comercial senior de desarrollo en DigiCert, firma experta en soluciones escalables TLS/SSL y PKI para identidad y encriptación.

«El ransomware puede bloquear las redes de los hospitales, evitando que los datos de los pacientes lleguen a las bombas de infusión. Infiltrarse en un dispositivo médico conectado puede causar estragos en otros dispositivos que dependen de ellos, pues los datos del paciente pueden verse comprometidos» —añade Coclin.

El informe del FBI mencionado señaló que cada dispositivo de la IoMT presenta, en promedio, 6.2 vulnerabilidades conocidas. Dadas las innumerables conexiones entre diferentes dispositivos y redes, es esencial proteger y monitorear los dispositivos médicos con una infraestructura de seguridad actualizable.

Ventajas irrefutables

La confianza digital garantiza que los usuarios puedan saber que las interacciones, los procesos y las transacciones que llevan a cabo son seguras. El informe Digital Trust: the Toundation for Digital Freedom, elaborado por IDC, señala puntos importantes para una estrategia de seguridad de la IoMT:

●Establecimiento de la autenticidad del dispositivo y prevención de la falsificación. Los certificados digitales pueden autenticar de forma segura la identidad de los dispositivos. Eso evita que éstos se inicien o funcionen si están comprometidos.

○Cifrado de datos privados de pacientes que se transmiten de forma inalámbrica o a través de una red. Los certificados digitales pueden garantizar tanto el cifrado como la integridad de los datos. Ello impide el robo o la manipulación de datos por parte de malos actores.

●Mejorar la confianza del usuario en la seguridad del dispositivo. La identidad y las operaciones seguras pueden proporcionar a los usuarios la confianza para incorporar dispositivos que mejoren los resultados del paciente.

○Integración segura con otras tecnologías que mejoran la precisión de la atención al paciente. Los dispositivos médicos conectados pueden integrarse de forma segura en sistemas protegidos que automatizan la entrega precisa y oportuna de medicamentos.

Estrategias para la confianza digital

No es sorprendente que implementar estrategias de confianza digital para disminuir las superficies de ataque de la IoMT rara vez sea sencillo. Pero es posible abordarlos con éxito:

●Conectividad intermitente en los centros de fabricación. Las conexiones de fábrica inconsistentes obligan a adoptar estrategias para asegurar la entrega continua de certificados digitales. Deben abarcar lo mismo a partes que a dispositivos terminados para garantizar el funcionamiento continuo de la línea, incluso durante cortes de Internet.

○Diversas líneas de productos con diferentes factores de forma y necesidades de seguridad. Las soluciones de DigiCert IoT permiten enfoques centralizados para gestionar confianza digital y gobiernan múltiples tipos de necesidades de inscripción y autenticación de certificados. Así, garantizan la coherencia en la arquitectura y la política. Al mismo tiempo, reducen la necesidad de expertos en PKI altamente capacitados para crear aplicaciones de seguridad personalizadas.

●Integración con servicios en la nube. Los proveedores de la nube ofrecen servicios de valor agregado para la gestión de la IoMT. Sin embargo, muchos requieren el desarrollo de código personalizado e integración de API. Esto puede conducir eventualmente a un nivel insostenible de mantenimiento. Es mejor automatizar las integraciones con IoT Hub de Azure y otros recursos en la nube. De esa manera, los equipos de desarrollo pueden concentrarse en su trabajo en lugar de en la integración del sistema.

Arquitecturas y estrategias

«A medida que aumenta la cantidad de ataques a los proveedores de atención médica, se vuelve más importante que nunca que los fabricantes de dispositivos IoMT encuentren una manera de consolidar la confianza digital en todas sus líneas de productos», señala Dean Coclin.

En Estados Unidos, la Administración de Alimentos y Medicamentos (FDA) requiere que las aplicaciones de dispositivos médicos brinden una garantía razonable de protección. Eso incluye proporcionar a la agencia una factura del software o los materiales utilizados por los dispositivos. También realizar actualizaciones de seguridad y parches periódicamente y en situaciones críticas. Las arquitecturas y estrategias de confianza digital ayudan a los fabricantes de dispositivos IoMT a cumplir con estos requisitos reglamentarios y del mercado.

Contribución de DigiCert.