Dreamstime Xl 110673197 Scaled.jpg

Dado lo mucho que escribo sobre privacidad, es un poco sorprendente que ahora tenga un transmisor de radio en mi pecho. Pero ese es el tipo de cosas que sucede cuando entras a una sala de emergencias con una frecuencia cardíaca que no supera los 30 y al día siguiente sales de la cirugía después del implante de emergencia de un marcapasos cardíaco. Ese marcapasos está equipado con telemetría por radiofrecuencia que le permite transmitir detalles sobre mi salud a los proveedores médicos y ser afinado por un técnico.

El dispositivo me mantiene activo, pero también me perturba muchísimo.

Millones de estadounidenses conectados

Alrededor de tres millones de estadounidenses han marcapasos cardiacosque regulan eléctricamente la frecuencia cardíaca lenta, mientras que muchos otros tienen desfibriladores cardioversores implantables que detienen las arritmias (latidos cardíacos irregulares). Algunos tienen una combinación de los dos.

Cada vez más, los dispositivos son accesibles de forma remota para que puedan transmitir datos de salud a los profesionales médicos y ajustarse a las necesidades de pacientes específicos. En la práctica, esto puede resultar fascinante y útil; Después de caminar por el pasillo, un representante del fabricante usó una tableta para modificar de forma remota la configuración de mi marcapasos para que respondiera mejor a mi nivel de esfuerzo. Los atletas suelen tener sus marcapasos configurados de manera diferente para las competiciones que para la vida cotidiana, me dijo.

De vez en cuando, una estación base junto a mi cama consulta automáticamente mi marcapasos, descarga información almacenada sobre mi función cardíaca y la envía a través de la red celular para su revisión.

Mi corazón hackeable

Pero un dispositivo médico al que se puede acceder de forma remota por buenas razones también es potencialmente vulnerable a intrusiones maliciosas. Las compensaciones entre el potencial de los dispositivos médicos accesibles remotamente para salvar vidas y la vulnerabilidad de la tecnología se han discutido durante años, aunque a veces las preocupaciones se ven arrasadas.

Hace quince años, un artículo de revista señaló que los investigadores «revirtieron parcialmente el efecto del ICD [implantable cardioverter defibrillator] protocolo de comunicaciones con un osciloscopio y una radio de software» y luego «realizó varios ataques de software basados ​​en radio que pudieron recuperar datos personales no cifrados de pacientes, así como cambiar la configuración del dispositivo».

Los autores añadieron que «se cree que el riesgo de acceso no autorizado a un DCI es poco probable, dada la considerable experiencia técnica necesaria».

Bueno, es poco probable que ocurra todo tipo de cosas hasta que estén terminadas. En 2017, la FDA emitió un aviso que 465.000 marcapasos fabricados por Abbott/St. Jude’s Medical tenía «vulnerabilidades de ciberseguridad» que «podrían permitir que un usuario no autorizado (es decir, alguien que no sea el médico del paciente) acceda al dispositivo de un paciente utilizando equipos disponibles comercialmente». Peor aún, alguien que obtenga acceso a los dispositivos podría «modificar los comandos de programación del marcapasos implantado, lo que podría provocar daños al paciente por el rápido agotamiento de la batería o la administración de un marcapasos inadecuado».

La solución, como suele ocurrir con la tecnología pirateable, fue una actualización del firmware.

Un año después, Ars Técnica reportado que «los marcapasos fabricados por Medtronic no dependen del cifrado para proteger las actualizaciones de firmware, una falla que hace posible que los piratas informáticos instalen de forma remota productos maliciosos que amenazan la vida de los pacientes». La vulnerabilidad fue revelada en la conferencia de seguridad Black Hat y resultó en otro aviso de la FDA.

Para ese entonces, el Patria El programa de televisión ya había presentado el asesinato de un vicepresidente ficticio de Estados Unidos. a través de un marcapasos cardíaco pirateado.

«Si bien los expertos coinciden en que un malicioso Patria«Es poco probable que se produzca un ataque similar a implantes basados ​​en RF, y algunos fabricantes han hecho grandes avances en la protección de sus productos contra violaciones inalámbricas, la seguridad de los dispositivos implantables sigue siendo un motivo de máxima preocupación», dijo Jim Pomager, Dispositivo médico en líneaEl editor ejecutivo, escribió en 2013. «Ignore la ciberseguridad e invariablemente volverá en su contra, ya sea en forma de una demanda, una carta de la FDA o la vergüenza (y mala prensa) de un hacker que expone los defectos de su dispositivo en un escenario internacional».

Eso, por supuesto, fueron varios años. antes las revelaciones sobre las vulnerabilidades de los marcapasos Abbott y Medtronic. La carrera entre hackers y profesionales de la seguridad continúa.

Cuando es una característica, no un error

Pero las vulnerabilidades de los dispositivos médicos son un efecto secundario de las capacidades de acceso remoto diseñadas deliberadamente en los dispositivos para que los profesionales médicos, como mi cardiólogo, puedan obtener datos y monitorear la salud del paciente. El rango de intencional Los usos de dicho acceso también pueden desviarse hacia áreas perturbadoras.

En el Congreso, el Ley de Reautorización de Apoyo a Pacientes y Comunidades incluye texto que prevé «un estudio sobre los efectos de la monitorización remota en personas a las que se les recetan opioides». El lenguaje del proyecto de ley, que fue aprobado por la Cámara el mes pasado, es parte de una tendencia hacia abordar el comportamiento que a los poderes fácticos no les gusta (entre ellos, el consumo de drogas) a través de la vigilancia.

«Un estudio aprobado por el gobierno como el propuesto por la GAO sin duda mostrará que, dadas las tecnologías actuales o proyectadas, es posible monitorear remotamente cómo los pacientes usan opioides a través de sus respuestas fisiológicas». prevenido Jeffrey A. Singer y Patrick G. Eddington para el Instituto Cato. «Con esos datos en la mano, los cruzados anti-opioides mal informados en el Congreso darán el siguiente paso ‘lógico’: una legislación que requiera que todos los pacientes a los que se les receten opioides por cualquier motivo sean monitoreados remotamente (otro ejemplo de ‘policías que practican la medicina’)».

Ahí no estoy donde estoy con mi marcapasos. Pero tengo un cardiólogo que ya me dijo que cree que hago demasiado ejercicio. ¿Revisará los datos y cuestionará mis hábitos? ¿Mi dispositivo médico delator va a inspirar sesiones de fastidio con los médicos, tal vez seguidas de desagradables comentarios de mi compañía de seguros o de agencias gubernamentales sobre las opciones de estilo de vida y los costos resultantes? Las capacidades tecnológicas avanzan rápidamente, pero las conversaciones sobre las implicaciones van muy por detrás.

Ese es un pensamiento que hace que mi corazón se acelere.

Por el momento, tras ser retirado tan pronto de la unidad de cuidados intensivos cardiovasculares, mi estación base permanece junto a la cama, transmitiendo datos de mi marcapasos a quien esté al otro lado. Pero si bien me salvó la vida, todavía tengo que hacer las paces con un dispositivo médico que informe la salud de mi corazón para su revisión y revisión.