Las tecnologías inalámbricas han llegado a dispositivos que hasta hace poco estaban aislados dentro del cuerpo de los pacientes. Marcapasos, desfibriladores y bombas de insulina mandan ahora información en tiempo real al médico, pero este gran avance terapéutico también conlleva peligros latentes: ataques informáticos, virus o errores de programación. Aunque son muy inusuales, algunos han producido muertes.
La portentosa irrupción de la tecnología inalámbrica en la sanidad ha permitido presenciar avances impensables hace algunos años, por ejemplo, monitorizar en tiempo real los niveles de glucosa de un paciente diabético. Sin pinchazo alguno, los resultados aparecen sobre la pantalla del especialista.
Lo mismo sucede con las versiones más recientes de marcapasos, desfibriladores y bombas de insulina. Los cuerpos de los pacientes que los utilizan ya no están aislados, porque los dispositivos se insertan en las redes invisibles de información de la consulta, donde flotan también historiales, bases de datos farmacológicos, protocolos médicos y normas de las aseguradoras. Y más allá, en el resto del hospital, la telaraña se magnifica con los datos que emiten los aparatos de rayos X, resonancia magnética y electrocardiograma.
Al estar todas estas redes conectadas, potencialmente, con el mundo, son susceptibles a fallos de software, virus informáticos o la acción de un hacker. De acuerdo con la Food and Drug Administration (FDA), los fallos de software y seguridad fueron la causa en el 24% de dispositivos médicos retirados del mercado en 2011.
“La premisa es que todo software tiene fallos, y todos son fallos humanos, aunque no lo parezca”, comenta a SINC Álvaro González, informático en Kanteron Systems, una empresa de software para dispositivos médicos. “La mala interpretación de los datos por el software es un error humano al programar, la mayoría de las veces sin querer, unas veces es por despiste y otras, por pura negligencia”.
Que no haya ocurrido ningún caso real de ‘hackeo’ no es óbice para desdeñar el riesgo potencial que existe, como demostró el año pasado el estadounidense Jay Radcliffe, un hacker diabético que programó un sistema capaz de controlar a corta distancia una bomba de insulina ajena. Su polémica ponencia, presentada en una conferencia de seguridad informática en Las Vegas, se titulaba "Hackeando Dispositivos Médicos por Diversión e Insulina".
Fallos de programación que arriesgan vidas
Semanas después, otro hacker llamado Barnaby Jack fue un paso más allá que Radcliffe. Utilizando una antena, demostró sobre un maniquí que llevaba una bomba de insulina Minimed, de la marca Medtronic, que ni siquiera hacía falta estar cerca de la víctima para activar el dispositivo y vaciar la bomba de insulina.
Medtronic es el fabricante líder de este tipo de tecnologías y también se utiliza en nuestro país. “Solemos trabajar con sensores de glucosa y bombas de insulina de las marcas Medtronic y Roche”, dice Encarna Millán, enfermera jefe en el Servicio de Endocrinología del Hospital Reina Sofía de Córdoba, “y ningún paciente ha tenido nunca ningún problema con ellos, nos parecen muy útiles y nos gustaría ir incrementando su uso”.
González enumera otros casos relacionados con el software de los dispositivos médicos, algunos muy recientes. Hace apenas tres semanas, la compañía estadounidense Hospira se vio obligada a retirar muchas de sus bombas de perfusión por un fallo con su pantalla táctil, que hacía que la cantidad de medicamento inyectada fuese diferente a la seleccionada en pantalla.
Meses antes, las universidades de Berkeley, Massachusetts y Carnegie Mellon prepararon un artículo conjunto alertando de que un desfibrilador externo automatizado, de uso popular en EE UU, contenía graves agujeros de seguridad en su software. La compañía Hospira retiró algunas bombas de perfusión porque inyectaban una cantidad de fármaco diferente a la seleccionada
Pero los problemas no aparecieron con la llegada de los dispositivos inalámbricos. “El ‘calentamiento’ es una catástrofe clásica de software en la sanidad, como demuestran los problemas del Therac-25, una máquina de radioterapia, entre 1985 y 1987”, dice González.
Nueve pacientes con cáncer muertos por exceso de radiación
Esta máquina tenía un fallo de software conocido como ‘race condition’ consistente en que el programa, al procesar datos por separado y luego unir sus resultados, produce errores si una de las partes tarda más o menos tiempo que la otra en procesar. “El error consistía en que, si metías muy rápido los datos del paciente, no los leía bien y acababa aplicándole el máximo posible de potencia a la persona que hubiera dentro”, explica este informático.
Un caso parecido de sobreexposición a la radiación por un fallo de software volvió a suceder, ya en 2001, con la máquina Theratron 780-C en Panamá, donde murieron nueve pacientes. La catástrofe se produjo por “una gran implicación de fallos de programación, y no por una malfunción en sí de la máquina. Por lo tanto, era totalmente evitable con planificación”, señala González.
Actualmente, la legislación española que regula los dispositivos médicos está adaptada a las tres directivas europeas en vigor, que datan de 1990, 1993 y 1998. Un memorando de la Comisión Europea publicado el pasado 26 de septiembre reconocía que “la legislación europea existente, que data de los años 90, no ha seguido el ritmo del enorme progreso tecnológico y científico de los últimos 20 años y como cualquier régimen regulatorio que trate con productos innovadores necesita una revisión regular”.
La comisión indicaba también que estas propuestas deberán ser discutidas en el Parlamento Europeo y en el Consejo Europeo. Se espera sean adoptadas en 2014 y entren en vigor progresivamente entre 2015 y 2019. Desafortunadamente, la política no progresa al mismo ritmo que la tecnología.
Bombas tan seguras como la Blackberry de Obama
Es lógico, por tanto, que las soluciones a corto plazo tengan que ser tecnológicas. Como se pudo comprobar en la última reunión anual de la EADS (Asociación Europea para el Estudio de la Diabetes, por sus siglas en inglés) los nuevos lanzamientos ya incluyen elementos que proporcionan seguridad adicional.
Es el caso de la suiza Biotech, cuya última bomba Jewel de insulina contiene un chip a prueba de ‘hackeos’ muy similar, dicen sus responsables, al que el presidente Obama lleva en su Blackerry.
Para los fabricantes, uno de los problemas de la incorporación de nuevo software es que podría afectar a la duración de la batería, un aspecto crítico para dispositivos como un marcapasos o un desfibrilador implantable. De hecho, en abril de este año Medtronic ya informó a la Agencia Española de Medicamentos y Productos Sanitarios de la conveniencia de ordenar un seguimiento en algunos de sus modelos de desfribriladores implantables, ante el riesgo de que la vida útil de su batería fuese menor de la prevista. Los 'gadgets' médicos podrían someterse a auditorías de código fuente, como las máquinas electrónicas de votación
Álvaro González sugiere que una solución eficaz, y no necesariamente técnica, serían las auditorías de códigos fuente, es decir, que una empresa externa compruebe que las líneas de programación funcionan correctamente y sus niveles de seguridad son adecuados. “La mejora de la seguridad no solo implica utilizar nuevas técnicas o chips más avanzados, sino también utilizar correctamente las técnicas de las que ya se disponen y seguir al 100% las normas de programación segura”, dice el informático.
Auditar los códigos fuente es un procedimiento habitual en instituciones como la NASA, pero también tiene aplicaciones en la vida civil, ya sea para una máquina electrónica de votación, como las empleadas en las últimas elecciones presidenciales americanas, o una tragaperras de Las Vegas, que, por exigencias estatales, debe ser electrónicamente inviolable.
Con el firewall al cuello
Otra aproximación al problema, desarrollada por las universidades de Purdue y Princeton, es el MedMon, un dispositivo externo que monitorizaría las comunicaciones emitidas desde la tecnología implantada en busca de anomalías. Es decir, lo que en informática se conoce como un firewall.
Según Anand Raghunathan, investigador en el Centro de Dispositivos Implantables de Purdue y uno de los creadores de MedMon, la idea ahora es miniaturizarlo para convertirlo en un “dispositivo adicional que puedas llevar, así no haría falta cambiar ninguno de los dispositivos implantables existentes. Podría ser llevado como un collar o integrado en el teléfono móvil, por ejemplo”.
A pesar de los riesgos enumerados, los portadores de uno de estos dispositivos no deben sentirse amenazados tras leer este reportaje, porque, como señalan tanto Radcliffe como los investigadores en esta materia, es extremadamente inusual que un paciente acabe siendo objeto de un ataque informático. Cierto es que no siempre se necesita de la maldad para causar una desgracia: un pequeño error en el programa puede ser ya una rendija lo suficientemente grande. Pero tranquilos, por suerte hay informáticos ahí fuera velando por nuestra salud.