Dispositivos médicos sin soporte: riesgos y soluciones para hospitales en la era digital

Los dispositivos médicos heredados, aquellos que operan con software antiguo y sin soporte, representan una vulnerabilidad considerable para la ciberseguridad de las instalaciones de salud.

La creciente digitalización del sector salud ha traído consigo un nuevo desafío: la ciberseguridad de los dispositivos médicos heredados. Estos dispositivos, que en su mayoría operan con software no compatible o desactualizado, representan una brecha de seguridad crítica en hospitales y centros de salud.

Aunque en 2023 la FDA implementó nuevas regulaciones para abordar los riesgos cibernéticos de los dispositivos médicos, las dificultades persisten, especialmente con el inventario existente de equipos obsoletos.

Las amenazas de ciberataques, como el ransomware, pueden afectar estos dispositivos y comprometer la seguridad del paciente y la continuidad de los servicios médicos. Por eso, aquí le brindamos 4 pasos para minimizar las amenazas de estos dispositivos médicos.

Te recomendamos: La ciberseguridad en el sector salud: una tarea pendiente para las organizaciones en América Latina

Paso 1: Identificar los dispositivos conectados

Uno de los mayores desafíos para gestionar los dispositivos médicos heredados es saber cuántos y cuáles están conectados a la red de un hospital. Debido a la cantidad de dispositivos y a su diversidad, identificar todos los equipos conectados puede ser complejo.

En muchos hospitales, las redes incluyen desde dispositivos médicos hasta equipos de cómputo y teléfonos móviles. Sin una clara visibilidad, es casi imposible implementar medidas de seguridad efectivas.

Richard Staynings, estratega jefe de seguridad en Cylera, destaca la importancia de identificar y clasificar los dispositivos conectados para desarrollar una estrategia de protección adecuada. “Lo primero que debemos hacer es entender qué se conecta a nuestras redes”, enfatiza Staynings. Esta primera fase permite a los equipos de ciberseguridad saber qué dispositivos deben monitorearse, actualizarse o incluso aislarse.

Paso 2: Comprender las vulnerabilidades

Una vez identificados los dispositivos, es crucial evaluar las vulnerabilidades que representan para la red. Los sistemas operativos y software desactualizados en dispositivos médicos pueden carecer de funciones de seguridad esenciales, como el cifrado de datos o la autenticación segura.

Esta falta de protección deja a los dispositivos expuestos a ciberataques que podrían comprometer la información sensible de los pacientes o interrumpir servicios esenciales.

Los expertos recomiendan utilizar una lista de materiales de software (SBOM, por sus siglas en inglés), un inventario detallado de los componentes de software de un dispositivo, para ayudar a identificar las posibles vulnerabilidades. La SBOM no solo facilita la identificación de componentes que necesitan actualizaciones, sino que también fomenta la colaboración entre hospitales y fabricantes para implementar parches o actualizaciones cuando sea necesario.

Otros temas de interés: Inteligencia artificial en salud: Claves para una implementación segura y efectiva

Paso 3: Implementar la segmentación de red

La segmentación de red es una medida clave para limitar el impacto de un posible ciberataque. Al separar los dispositivos vulnerables en subredes aisladas, es posible reducir el riesgo de que un ataque se propague por toda la red hospitalaria. Esta estrategia permite que ciertos dispositivos médicos puedan operar de forma segura sin exponerse a amenazas externas.

Ty Greenhalgh, director de la industria de atención médica en Medigate by Claroty, explica que la segmentación de red puede realizarse sin perder conectividad funcional. Por ejemplo, los dispositivos de diagnóstico que deben comunicarse entre sí pueden estar en una red segmentada, donde solo interactúan con otros equipos clínicamente relevantes. Así, el hospital puede supervisar de cerca su comportamiento y reaccionar rápidamente ante cualquier anomalía.

Paso 4: Apagar dispositivos en casos extremos

Cuando un dispositivo representa un riesgo elevado que no puede mitigarse mediante segmentación o actualización, el último recurso es desconectarlo por completo de la red. Sin embargo, esta decisión es compleja, ya que implica evaluar la importancia del equipo para la atención al paciente frente al riesgo de un ataque. Además, el costo de reemplazar estos dispositivos puede ser prohibitivo para muchas instituciones de salud.

John Riggi, asesor nacional de ciberseguridad de la Asociación Estadounidense de Hospitales, señala que la desconexión de dispositivos debe ir acompañada de planes de contingencia. Esto puede implicar redirigir pacientes a otras instalaciones o desarrollar estrategias para brindar atención sin el equipo afectado. Aunque es una medida extrema, puede ser necesaria en situaciones de alta amenaza para garantizar la seguridad de los pacientes.