El sector de la Internet de las Cosas Médicas (IoMT) está creciendo rápidamente: se prevé que alcance los 187.60 mil millones de dólares en 2028. A medida que este rápido crecimiento continúa, hay una serie de consideraciones clave que los fabricantes de dispositivos médicos deben tener en cuenta al construir dispositivos médicos habilitados para IoT, incluyendo la privacidad y la seguridad.
Y con la innovación sanitaria también creciendo a un ritmo increíble, el uso de IoMT permite la monitorización de la salud 24/7 de los pacientes sin importar la gravedad de sus condiciones, dice Tony Pietrocola, presidente y cofundador de AgileBlue, un centro de operaciones de seguridad autónomo y proveedor de SOAR.
“IoMT puede proporcionar a los médicos y al personal sanitario información más precisa y más rápida sobre las condiciones inmediatas, lo que debería permitir tratamientos más eficaces y oportunos”, afirma Pietrocola.
Estos son los cinco factores principales que los fabricantes deben tener en cuenta para el desarrollo de IoMT.
Incorporar análisis predictivos
La intersección de la analítica predictiva habilitada por la inteligencia artificial y el IoMT (una rama del Internet de las cosas) es muy prometedora, afirma Chad Holmes, vicepresidente del sector sanitario de Launch Consulting Group.
“Además de ayudar a los hospitales a mejorar sus operaciones automatizándolas, haciéndolas más predictivas y menos costosas, las soluciones IoMT que incorporan la biometría y el mantenimiento predictivo ayudarán al personal de enfermería a pasar más tiempo con los pacientes, personalizar los cuidados y dedicar menos tiempo a gestionar los equipos e interpretar los diagnósticos, lo que es fundamental dada la escasez estimada de 500.000 enfermeras en EE.UU. para 2025″, afirma Holmes.
Capacidades de identificación y verificación
Las capacidades de identificación y verificación son aspectos importantes del diseño de dispositivos IoMT, ya que abordan múltiples facetas de la seguridad, la privacidad y la precisión, dice Nathan Robbins, director senior de estrategia corporativa de Syniverse, una empresa de telecomunicaciones.
“Estas características garantizan que si un dispositivo está realizando cualquier tipo de prueba/lectura, podrá confirmar la identidad de la persona que se está sometiendo a la prueba para generar resultados precisos”, afirma. “También protege la información confidencial de otras personas que puedan entrar en contacto con el dispositivo, es decir, que no vean los resultados de la persona que lo usó antes”.
Además, supongamos que hay integración con un historial médico. En ese caso, estas capacidades permiten una conexión segura, garantizando que la información no se vea comprometida y confirmando que los resultados se sincronizan con los registros del paciente adecuado, explica Robbins.
Considerar proactivamente la seguridad/protección de los dispositivos
Según Robbins, los fabricantes también deben tener en cuenta de forma proactiva la seguridad y protección de los dispositivos para que los datos confidenciales no caigan en manos equivocadas.
Dice que deben utilizar protocolos de encriptación para proteger los datos de los dispositivos IoMT en tránsito y garantizar que los datos se transmiten de forma segura, reduciendo el riesgo de interceptación y acceso no autorizado durante la transmisión. Esto también garantizará que un determinado dispositivo produzca resultados y/o diagnósticos precisos.
“Por ejemplo, si una persona está utilizando los datos recogidos de un dispositivo IoMT para tomar decisiones médicas, como la cantidad de medicación basada en los resultados que obtiene, un dispositivo IoMT asegurado con cifrado de datos evita la posibilidad de generar resultados incorrectos o falsos a propósito”, afirma Robbins.
Shiva Nathan, director general y fundador de Onymos Inc, desarrolladora de una plataforma de funciones como servicio, afirma que las vulnerabilidades de un dispositivo médico o del ecosistema del que forma parte amenazan tanto la privacidad como la seguridad del paciente.
“Desde el principio, un dispositivo médico no puede considerarse una entidad única”, afirma Nathan. “Todo el ecosistema, del que forma parte un dispositivo médico, debe ser revisado en cuanto a seguridad y cumplimiento”.
Un IoMT comprometido afecta inmediatamente a la atención directa al paciente, afirma Nathan. Aunque la intención de un hacker puede no ser afectar directamente a la atención al paciente, la acción sin escrúpulos de un hacker que realiza un ataque de ransomware a un sistema de software puede afectar negativamente al paciente.
“Puede que el hacker ni siquiera sepa que el sistema del hospital atacado estaba conectado a un paciente, donde el impacto es real”, afirma. “Ya no es sólo [cosa de películas] que un hacker pueda controlar el marcapasos de un paciente en un avión”.
Y los dispositivos de monitorización remota de pacientes, como los monitores de glucosa y los relojes inteligentes para personas con enfermedades crónicas y afecciones de larga duración, plantean riesgos adicionales para los fabricantes de estos dispositivos médicos, afirma Paul Schmeltzer, abogado sénior de Clark Hill LLP.
“Dado que los pacientes suelen conectarse a sus redes domésticas de Internet, que pueden ser inseguras, los desarrolladores deben determinar si sus dispositivos contienen alguna vulnerabilidad crítica a la que se pueda acceder en la red abierta de un paciente”, afirma.
Riesgos/beneficios de incorporar inteligencia aumentada
Dado el estado actual de la inteligencia artificial y el aprendizaje automático, incluida la IA generativa y los grandes modelos de lenguaje, ninguna evaluación de tecnología médica estaría completa sin considerar los riesgos y beneficios de incorporar inteligencia aumentada, dice Sue Boisvert, gerente sénior de riesgos de seguridad del paciente en The Doctors Company, una compañía de seguros de negligencia médica propiedad de médicos.
“Los dispositivos médicos conectados generan un flujo continuo de datos que los proveedores deben analizar y sobre el que deben actuar”, afirma. La inteligencia aumentada ya se utiliza para analizar algunos de estos flujos de datos, sobre todo en la monitorización remota de pacientes y en los hospitales a domicilio”.
Añade que el inconveniente de la creación y distribución masiva de datos es su atractivo para los ciberdelincuentes.
“La IA generativa puede reidentificar la información desidentificada de los pacientes, lo que representa una grave amenaza para la privacidad individual”, afirma Boisvert. “Los desarrolladores y fabricantes de dispositivos deben implementar las mejores protecciones de seguridad y privacidad y anticiparse continuamente a lo que está por venir.”
Garantizar que los dispositivos cumplen los requisitos de privacidad/reglamentación
Los desarrolladores de dispositivos IoMT deben considerar si sus dispositivos cumplen con innumerables leyes de privacidad estatales y federales, según Schmeltzer.
“El fabricante debe asegurarse de que la recopilación y el intercambio de datos sanitarios confidenciales procedentes del dispositivo médico se ajustan a las leyes de privacidad, incluida la Ley de Portabilidad y Responsabilidad del Seguro Médico, la Ley de Privacidad del Consumidor de California, modificada recientemente por la Ley de Derechos de Privacidad de California, y la Ley Federal de Tecnología de la Información Sanitaria para la Salud Económica y Clínica”, afirma.
Sean Lord, director de marketing de productos de ciberseguridad de SHI International Corp, proveedor de soluciones tecnológicas, coincide en que el cumplimiento de la normativa es fundamental.
“Los fabricantes también deben tener en cuenta el panorama normativo global de IoT”, afirma. “Consolidar sus esfuerzos de cumplimiento, mantenerse al día con los mandatos de cumplimiento en constante evolución y alinear sus prácticas en consecuencia garantiza la adhesión legal y refuerza la seguridad general.”
También existe la preocupación de que los dispositivos médicos vulnerables sin parches puedan utilizarse en hospitales mucho más allá del periodo en que los fabricantes de dispositivos médicos ofrecen actualizaciones y parches, añade Schmeltzer.
En un esfuerzo por regular la proliferación de nuevos dispositivos médicos que carecen de actualizaciones o parches periódicos para subsanar las vulnerabilidades de seguridad, el Congreso aprobó en diciembre de 2022 un paquete ómnibus de 1,7 billones de dólares que otorgó a la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) autoridad para introducir normativas sobre la seguridad de los dispositivos médicos para los fabricantes, explica.
La FDA ahora exige que los fabricantes de nuevos dispositivos médicos presenten esquemas al gobierno que ofrezcan pruebas de que sus dispositivos se pueden actualizar, parchear y adaptar según sea necesario, así como detallar sus controles de seguridad.
“Después de que el dispositivo llegue al mercado, los fabricantes deben aportar pruebas continuas de que vigilan las posibles vulnerabilidades y de que disponen de un plan de ciberseguridad para remediar cualquier posible problema que surja”, afirma Schmeltzer.
Lord afirma que los fabricantes deben considerar cuándo y cómo actualizar estos dispositivos al principio del ciclo de vida de desarrollo del software.
“Contener los dispositivos es prudente si los dispositivos heredados no pueden actualizarse, sustituirse o desconectarse”, añade. “La contención podría incluir la limitación de la funcionalidad y el bloqueo de determinados tipos de comunicación realizando una inspección adicional del tráfico de los dispositivos IoMT”.
Interoperabilidad
Según Cameron van Orman, director de estrategia de Planview, un proveedor de software de gestión de carteras, la creación de dispositivos con software para el Internet de los objetos médicos requiere un enfoque integral.
“Además de las consideraciones esenciales de privacidad, seguridad y cumplimiento de la normativa, la interoperabilidad es primordial para garantizar una integración perfecta con diversos sistemas sanitarios y dispositivos personales”, afirma.
Descuidar la interoperabilidad puede dar lugar a un despilfarro de recursos, ciclos de innovación lentos, baja adopción y usuarios finales frustrados, añade van Orman.
“El tiempo de comercialización es fundamental. Los retrasos en el proceso de ideación, planificación y entrega de software impiden la rápida entrega de soluciones que salvan o cambian vidas”, afirma. “Como padre de un diabético de tipo 1, tengo una conexión personal con la importancia de estos factores, siendo testigo de primera mano del poder transformador de la digitalización en los dispositivos médicos, lo que subraya la urgencia de abordar estas cuestiones para mejorar los resultados y la calidad de vida de los pacientes.”
Conclusión
La tecnología sanitaria existe en un complejo ecosistema digital, afirma Boisvert, de The Doctor Company. Los cambios o fallos en un espacio pueden extenderse y alterar otros espacios.
“Los creadores y los profesionales sanitarios son responsables de evaluar el riesgo, la probabilidad y la gravedad de los posibles modos de fallo y de desarrollar estrategias de prevención y respuesta”, afirma Boisvert.
“[En consecuencia], las responsabilidades de los fabricantes incluyen la seguridad de los dispositivos, la seguridad, la interoperabilidad y el cumplimiento normativo”.