Millones de aparatos enganchados a Internet monitorizan ya nuestro estado de salud, lo que obliga al sector sanitario a avanzar en busca de una mayor ciberseguridad
En el año 2030, más de 50.000 millones de aparatos estarán conectados a Internet de uno u otro modo. Desde teléfonos móviles y ordenadores hasta dispositivos menos obvios como lavadoras, frigoríficos, semáforos, señales de tráfico o las puertas de acceso de un edificio. Es lo que se ha dado en llamar el Internet de las Cosas (IoT, por sus siglas en inglés). El aumento de la conectividad ha permitido que cada vez más máquinas funcionen a través de una conexión a la red. La nevera de casa puede consultar la lista de la compra de la familia y buscar en Amazon las ofertas más jugosas; el semáforo de la esquina se coordina en red con las luces del resto de la ciudad; las cámaras de vigilancia de una empresa mandan datos en tiempo real sobre el acceso de personas al edificio…
55.000 millones de aparatos conectados suponen casi 7 dispositivos con acceso a la red por cada ciudadano del planeta. Según recientes informes, dentro de cinco años, una tercera parte de esas conexiones tendrán lugar en un entorno médico.
Se conoce como Internet de las Cosas Médicas (IoMT) a la proliferación de tecnologías utilizadas en centros de salud, hospitales y espacios domésticos necesarias para el control clínico de un paciente y que ya están conectadas a Internet. Cada vez más ciudadanos llevan en sus muñecas un reloj capaz de monitorizar algunas constantes como el pulso, el ritmo cardiaco e incluso el nivel de oxígeno en sangre, y que envían esos datos a un teléfono móvil a través de Internet. En los hospitales, máquinas de diagnóstico por imagen, monitores cardiacos, discos duros repletos de datos clínicos, marcapasos, bombas de insulina… son una ventana a las redes de telecomunicación globales.
El negocio global de este tipo de aparatos médicos supondrá cerca de 357.000 millones de dólares en 2031, según un informe de InsightAce. El mayor impulsor de crecimiento será la generalización del uso de dispositivos portátiles para controlar la salud. Esta práctica supone todo un reto para los sistemas sanitarios del futuro.
Una investigación sobre ciberseguridad publicada hace cuatro años analizó cinco millones de conexiones a Internet realizadas en hospitales y centros médicos de Estados Unidos para revelar una ingente cantidad de posibles vulnerabilidades. El 15% de las conexiones procedía de aparatos desconocidos o que no habían sido autorizados. El 20% utilizaba sistemas operativos no legales. El 51% de los responsables de informática de los hospitales no eran capaces de definir cuántos aparatos estaban conectados a Internet en su centro en cada momento. El 85% de centros usaba algún tipo de tecnología que no había sido validada por la FDA (la agencia de seguridad médica de EE UU).
El escenario más simple consiste en miles de personas que hacen uso de una instalación médica (pacientes, personal sanitario, familiares, personal de servicios, etc.) y conectan sus teléfonos móviles a la red del local. Este simple gesto puede convertirse en una ventana de acceso a datos sensibles en los sistemas informáticos del centro.
Pero las posibilidades de asaltar una red informática hospitalaria y poner en riesgo la privacidad de los datos médicos albergados en ella va mucho más allá de hackear la wifi a través del teléfono móvil de un familiar poco cauteloso. Se cree que en la actualidad un hospital medio cuenta con entre 10 y 15 aparatos conectados por cada cama. Por ejemplo, los monitores de constantes vitales modernos permiten a los sanitarios tener acceso remoto a docenas de datos clínicos de un paciente ingresado en tiempo real. Tal como acaba de publicar la revista JAMA (Journal of the American Medical Association), desde hace un lustro se han duplicado los intentos de ataque informático a instalaciones hospitalarias en Estados Unidos. Lo que es más preocupante es que en un 22% de los casos, el ataque tuvo como consecuencia un error de lectura o transmisión de un dato clínico de un paciente (por ejemplo, un incorrecto registro de su tensión arterial).
La empresa de seguridad Proofpoint acaba de publicar un informe titulado «Ciberinseguridad en el sector sanitario» que alerta de que casi el 90% de las organizaciones sanitarias ha sufrido más de 40 ataques informáticos en los últimos 12 meses.
El tipo de ataque más frecuente es el ramsomware (bloqueo de un sistema informático para pedir un rescate). Esta amenaza genera en un 64% de los casos retrasos en las pruebas médicas y mayores estancias hospitalarias de los pacientes afectados.
Un vistazo rápido a cualquier hospital español sirve para hacerse una idea de los aparatos que pueden ser susceptibles de un ataque de este tipo: monitores cardiacos, bombas de infusión, robots cirujanos, dispositivos de teleasistencia, intercomunicadores, marcapasos, sensores inalámbricos…
Sin duda, toda esta tecnología ha contribuido a mejorar el tratamiento y las expectativas de recuperación de millones de enfermos en el planeta, pero no dejan de suponer una amenaza que requiere de sistemas de seguridad y normativas constantemente actualizadas. Datos del Centro Nacional de Inteligencia de 2022 confirman que en España la sanidad pública sufre cerca de 150 ciberataques anuales. Los expertos insisten en que los centros sanitarios de nuestro país deben ponerse ya manos a la obra en la mejora de los sistemas de seguridad, actualizaciones, parches y formación de personal para enfrentarse a la nueva ola de productos médicos interconectados que se avecina. Las cifras son demoledoras. En 2024 habrá un 58% más de datos médicos que el año pasado. El 95% de esos datos son imágenes de diagnóstico. El Sistema de Salud británico, por ejemplo, genera un millón de nuevas imágenes al día, todas ellas digitalizadas. Si se introducen datos genómicos se requiere 50 veces más memoria para almacenarlos. Cada año se descargan 1.700 millones de «apps» médicas en el mundo.
