Saltar al contenido principal

Tema de la publicación: Seguridad de dispositivos médicos

Silencio inalcanzable: Cómo MAUDE puede amplificar el llamado a dispositivos más seguros

Escrito por Julia Annaloro on . Publicado en Seguridad de dispositivos médicos, Recursos y noticias.

Blog sobre dispositivos médicos de Phil Englert, vicepresidente de seguridad de dispositivos médicos de Health-ISAC

Los propietarios de dispositivos médicos se sienten cada vez más frustrados por la poca información que comparten los fabricantes sobre vulnerabilidades conocidas, pero no reveladas, en las tecnologías médicas y la rapidez con la que las corrigen. Aprovechar el MAUDE de la Administración de Alimentos y Medicamentos (FDA) podría ser una forma de optimizar la rapidez.

La base de datos MAUDE de la FDA (abreviatura de Experiencia del Fabricante y del Usuario del Dispositivo en el Centro) es un repositorio público de informes de eventos adversos relacionados con dispositivos médicos y forma parte de la estrategia de vigilancia poscomercialización de la FDA. Su objetivo principal es ayudar a la FDA a supervisar el rendimiento de los dispositivos, detectar posibles problemas de seguridad y respaldar las evaluaciones de riesgo-beneficio una vez que los dispositivos se comercializan. Los informantes obligatorios (como fabricantes, importadores y centros de salud) deben presentar informes cuando un dispositivo pueda haber causado o contribuido a una muerte, lesión grave o mal funcionamiento. Los informantes voluntarios (como profesionales de la salud, pacientes o cuidadores) también pueden presentar informes si observan o experimentan un problema relacionado con el dispositivo.

Lea más sobre MAUDE, incluido un Ejemplo de una narrativa del informe MAUDE relacionado con la cibernética, en TechNation.

Haga clic aquí

Seguridad de los dispositivos médicos: lo que realmente quieren los compradores de atención médica

Escrito por Julia Annaloro on . Publicado en Seguridad de dispositivos médicos, Documentación Técnica.

La ciberseguridad es ahora el guardián del acceso al mercado

INFORME EJECUTIVO DEL ÍNDICE DE CIBERSEGURIDAD DE DISPOSITIVOS MÉDICOS 2025

La atención médica ha llegado a un punto de inflexión en materia de ciberseguridad. El 22 % de las organizaciones sanitarias han experimentado ciberataques que comprometieron dispositivos médicos, y el 75% de estos Incidentes que impactan directamente la atención al paciente. Cuando los ataques obligan a los pacientes a ser transferidos a otros hospitales... instalaciones—lo que ocurrió en casi una cuarta parte de los casos—ya no estamos hablando de TI inconvenientes, pero emergencias médicas.

 

LA DEMANDA DE SEGURIDAD DE LOS DISPOSITIVOS MÉDICOS ES ALTA

1. Transparencia a través de los SBOM – El 78 % considera que las listas de materiales de software son esenciales en las decisiones de adquisición. Esto no se refiere solo al cumplimiento normativo, sino a la gestión práctica de vulnerabilidades en un ecosistema interconectado.

2. Seguridad integrada vs. seguridad atornillada El 60 % prioriza las protecciones integradas de ciberseguridad sobre las soluciones modernizadas. Los líderes del sector salud han aprendido que las medidas de seguridad provisionales fallan ante ataques sofisticados.

3. Protección avanzada en tiempo de ejecuciónEl 36% busca activamente dispositivos con protección en tiempo de ejecución, mientras que otro 38% lo sabe pero aún no lo necesita, lo que sugiere una rápida evolución del mercado desde una adopción temprana hasta una expectativa generalizada.

Lea el informe técnico de RunSafe Security, un navegador de Health-ISAC. Haga clic aquí

Estado de la ciberseguridad en la atención médica: avances y dificultades

Escrito por Julia Annaloro on . Publicado en En las noticias, Seguridad de dispositivos médicos.

Phil Englert de Health-ISAC y Murad Dikeidek de UI Health hablan sobre los desafíos de la seguridad del sector de la salud y ofrecen ideas.

Si bien el sector de la salud está logrando avances en materia de resiliencia cibernética, aún enfrenta desafíos profundamente arraigados, incluidos la colaboración, los problemas de fuerza laboral cibernética y las limitaciones presupuestarias, lo que requiere una demanda constante de adaptación y repriorización a medida que los adversarios cambian sus tácticas, dijeron los expertos en seguridad Phil Englert y Murad Dikeidek.

“Una de las cosas que vemos que sucede cada vez más, y todavía no lo suficiente, es el intercambio de información”, dijo Englert, vicepresidente de seguridad de dispositivos médicos en el Centro de Análisis e Intercambio de Información de Salud.

El intercambio de información puede ser vital para ayudar a que el sector en general comprenda mejor las amenazas que enfrenta, pero aún hay incertidumbre en muchas organizaciones sobre el nivel de detalles que los proveedores de atención médica deben revelar, dijo.

Lea o escuche esta conversación en Data Breach Today. Haga clic aquí

Vulnerabilidad de Contec CMS8000

Escrito por Julia Annaloro on . Publicado en Seguridad de dispositivos médicos, Recursos y noticias.

Vulnerabilidad de Contec CMS8000: ¿Un problema crítico de ciberseguridad o una mala práctica de codificación?

Blog de seguridad de dispositivos médicos de Health-ISAC en TechNation

Escrito por Phil Englert, vicepresidente de seguridad de dispositivos médicos de Health-ISAC

El 30 de enero de 2025, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicó el aviso médico ICSMA-25-030-01, que destaca vulnerabilidades críticas en los monitores de pacientes Contec CMS8000. Estas vulnerabilidades, que incluyen escritura fuera de límites, una puerta trasera oculta y fugas de privacidad, representan riesgos significativos para la seguridad del paciente y la seguridad de los datos. La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) emitió un comunicado de seguridad ese mismo día, enfatizando los riesgos asociados con estas vulnerabilidades. La FDA destacó que el Contec CMS8000 y las versiones reetiquetadas, como el Epsimed MN-120, podrían ser controlados remotamente por usuarios no autorizados, lo que podría comprometer los datos del paciente y la funcionalidad del dispositivo. El CMS8000 salió al mercado alrededor de 2005 y obtuvo la autorización 510(k) de la FDA en junio de 2011.

Las recomendaciones de la FDA para profesionales de la salud y pacientes fueron dos: desconectar e interrumpir el uso del dispositivo si dependen de las funciones de monitorización remota. En segundo lugar, la FDA recomendó utilizar únicamente las funciones de monitorización local, como desactivar las funciones inalámbricas y desconectar los cables Ethernet. Los monitores fisiológicos no proporcionan tratamientos que salven o mantengan la vida, pero son esenciales para monitorizar el estado de los pacientes en riesgo. Los monitores de pacientes se monitorizan de forma centralizada para notificar con prontitud a los cuidadores sobre los cambios en el estado del paciente. Una respuesta rápida puede marcar la diferencia entre un buen y un mal resultado.

Las vulnerabilidades de Contec CMS8000, reveladas por CISA y analizadas por la FDA, Claroty y Cylera, resaltan la necesidad crítica de contar con medidas robustas de ciberseguridad en entornos sanitarios. También destacan que las vulnerabilidades pueden provenir de un diseño inseguro, más que de intenciones maliciosas, y su impacto potencial en la seguridad del paciente y la seguridad de los datos no debe subestimarse. Los profesionales sanitarios deben actuar con rapidez para mitigar estos riesgos y garantizar la integridad de sus dispositivos médicos.

Lea el blog completo en TechNation. Haga clic aquí

 

La ciberseguridad de los dispositivos médicos podría verse amenazada por los recortes de personal del HHS

Escrito por Julia Annaloro on . Publicado en En las noticias, Seguridad de dispositivos médicos.

Audiencia del subcomité de la Cámara de Representantes sobre protección de la ciberseguridad para dispositivos médicos tradicionales eclipsada por los recortes del HHS.

A los panelistas que participaron en el debate del Subcomité de Supervisión e Investigaciones sobre “Tecnología obsoleta, amenazas emergentes: examen de las vulnerabilidades de la ciberseguridad en los dispositivos médicos tradicionales” se les preguntó sobre el impacto de las reducciones de personal de la FDA en la seguridad de los dispositivos médicos. 

"Excelente", afirmó Kevin Fu, profesor del Departamento de Ingeniería Eléctrica e Informática de la Facultad Khoury de Ciencias de la Computación de la Universidad Northeastern. Fu fue director interino inaugural de Ciberseguridad de Dispositivos Médicos en el Centro de Dispositivos y Salud Radiológica (CDRH) de la FDA y director del programa de Ciberseguridad en el Centro de Excelencia en Salud Digital.

Erik Decker, vicepresidente y CISO de Intermontaña Salud, dijo que la FDA es un actor clave en los esfuerzos de ciberseguridad.

"Sí, tendrá un impacto", dijo Decker. 

Los fabricantes de dispositivos médicos, los hospitales y la FDA colaboran, afirmó. El HHS, la FDA y el sector sanitario han establecido numerosos grupos de trabajo en el marco del Grupo de Trabajo de Ciberseguridad (CWG) del Consejo Coordinador del Sector Salud (HSCC).

Sin embargo, dijo Decker, el análisis muestra que, en promedio, los hospitales solo tienen implementadas alrededor del 55% de las prácticas recomendadas de Prácticas de Ciberseguridad de la Industria de la Salud (HICP) para la seguridad de los dispositivos médicos. 

Decker dijo que hay cuatro grupos de actores amenazantes: actores de estados-nación, crimen organizado, “hacktivistas” y amenazas internas. 

El panelista Greg García, director ejecutivo del Grupo de Trabajo de Ciberseguridad del Consejo Coordinador del Sector Salud, dijo que la próxima semana publicarán un libro blanco sobre cómo los sistemas de salud carecen de recursos financieros y de personal suficientes para la protección de la ciberseguridad.

Lea el artículo completo en Healthcare Finance News. Haga clic aquí

Cómo puede prepararse el personal de HTM para los cambios propuestos en las normas de seguridad de HIPAA

Escrito por Julia Annaloro on . Publicado en En las noticias, Seguridad de dispositivos médicos.

Blog de seguridad de dispositivos médicos de Health-ISAC en TechNation

Escrito por Phil Englert, vicepresidente de seguridad de dispositivos médicos de Health-ISAC

 

El 27 de diciembre de 2024, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los Estados Unidos (HHS) emitió un Aviso de Propuesta de Normativa (NPRM) para modificar la Norma de Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA). El objetivo es fortalecer las defensas de ciberseguridad que protegen la información médica electrónica (ePHI). Esta actualización propuesta representa un enfoque proactivo para salvaguardar la información médica confidencial en una era de crecientes ciberamenazas.

Las enmiendas propuestas destacan varias medidas cruciales para reforzar la protección de la PHI electrónica. Algunas de estas normas se centran en los procesos, mientras que otras son técnicas. Incorporar estos cambios propuestos en el proceso de adquisición ayudará a las organizaciones a prepararse para su entrada en vigor. A continuación, se presenta una selección de medidas específicamente pertinentes para los dispositivos médicos.

Continúe leyendo este artículo en TechNation. Haga clic aquí

Análisis del impacto del riesgo de dispositivos médicos para proveedores de atención médica

Escrito por Julia Annaloro on . Publicado en Seguridad de dispositivos médicos, Recursos y noticias.

Blog de seguridad de dispositivos médicos de Health-ISAC en TechNation

Escrito por Phil Englert, vicepresidente de seguridad de dispositivos médicos de Health-ISAC

En el sector sanitario, garantizar la seguridad y la eficacia de los dispositivos médicos es fundamental. Con demasiada frecuencia, la ciberseguridad se centra en las vulnerabilidades y, si bien es importante, el análisis de vulnerabilidades es demasiado limitado. Las vulnerabilidades se evalúan mediante el Sistema Común de Puntuación de Vulnerabilidades (CVSS), que intenta determinar su peligrosidad. Esta información es útil, pero considera el riesgo de vulnerabilidad dentro del componente en el que reside, en lugar del producto. Esta visión limitada no considera los riesgos que la vulnerabilidad representa para un entorno específico. Al evaluar el riesgo, también deben considerarse factores contextuales como la importancia del activo, cómo se utiliza o los controles implementados, ya sea dentro del producto o dentro de la red. Dadas estas limitaciones, realizar un Análisis de Impacto de Riesgo de Dispositivos Médicos (MDRIA) es un proceso crucial que ayuda a los profesionales sanitarios a identificar, evaluar y mitigar los riesgos asociados a los dispositivos médicos. Este ensayo describe los componentes esenciales de un MDRIA.

Lea el blog completo en TechNation.  Haga clic aquí

Logotipo de Industrial Cyber ​​en la parte superior Imagen de una pantalla de televisión con una captura de pantalla de este artículo. Mención extraída: Cronología de la transición de responsabilidades durante el ciclo de vida de los dispositivos médicos

El informe técnico de Health-ISAC destaca las responsabilidades de ciberseguridad en el ciclo de vida de los dispositivos médicos y se centra en la resiliencia

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, En las noticias, Documentación Técnica.

 

Health-ISAC publicó un informe técnico que aborda las tareas necesarias para mantener la resiliencia cibernética de los dispositivos médicos y cómo las responsabilidades pueden cambiar de una parte a otra a lo largo de todo el producto. A medida que los dispositivos médicos avanzan por las fases del ciclo de vida, la responsabilidad de las tareas puede transferirse entre los fabricantes y el cliente. El informe técnico de Health-ISAC identifica que la comunicación entre las dos partes es esencial a medida que el dispositivo avanza por el ciclo de vida para que las tareas se coordinen y se reduzcan las brechas de seguridad dentro del producto.

El informe técnico, titulado 'Exploración de los roles de ciberseguridad de los fabricantes y las organizaciones de atención médica durante el ciclo de vida de los dispositivos médicos', identificado que Los dispositivos médicos pasan por cuatro fases de ciclo de vida, con distintos niveles de responsabilidades para el fabricante del dispositivo y la organización de prestación de servicios de salud. Las organizaciones de prestación de servicios de salud (HDO) deberían realizar evaluaciones de riesgo más regulares al final de la vida útil (EOL) y al final del soporte (EOS) para determinar si pueden aceptar el riesgo de un uso continuo. También señala que la responsabilidad de mantener la postura de ciberseguridad de un dispositivo médico evoluciona a lo largo del ciclo de vida de un dispositivo. 

Lea el artículo completo en Industrial Cyber. Haga clic aquí

Exploración de los roles de ciberseguridad de los fabricantes y las organizaciones de atención médica durante el ciclo de vida de los dispositivos médicos

Escrito por Julia Annaloro on . Publicado en Salud-ISAC, Seguridad de dispositivos médicos, Documentación Técnica.

 

TLP: BLANCO Este informe puede compartirse sin restricciones.
Los miembros de Health-ISAC deben asegurarse de descargar la versión completa del informe desde el Portal de inteligencia sobre amenazas de Health-ISAC (HTIP)

Juicios clave

  • Los dispositivos médicos pasan por cuatro fases de ciclo de vida, con distintos niveles de responsabilidades para el fabricante del dispositivo médico y la organización que presta servicios de atención médica.

  • Las organizaciones de prestación de servicios de salud deberían realizar evaluaciones de riesgos más periódicas al final de la vida y del soporte para determinar si pueden aceptar el riesgo del uso continuo.

  • El fabricante implementa categorías de control de seguridad en la fase de desarrollo para garantizar que el dispositivo sea seguro por diseño, seguro por defecto y seguro por demanda.

  • La documentación y la transparencia son fundamentales para mantener la ciberseguridad. Esto incluye proporcionar documentación de seguridad detallada, una lista de materiales de software (SBOM) y una comunicación clara sobre vulnerabilidades y actualizaciones. 

 

Descargue este documento técnico.

Exploración de los roles de ciberseguridad de los fabricantes y las organizaciones de atención médica durante el ciclo de vida de los dispositivos médicos
Tamaño: 3.2 MB Formato: (PDF)

Introducción

A medida que los dispositivos médicos se interconectan cada vez más y tienen capacidades de comunicación inalámbrica e Internet, comprender las etapas del ciclo de vida y las tareas necesarias para mantener su postura de seguridad ayudará a las organizaciones a proteger los dispositivos contra las amenazas de ciberseguridad. El ciclo de vida del dispositivo son las distintas etapas por las que pasa un dispositivo, desde la investigación y el desarrollo, la comercialización y, finalmente, el final de su vida útil y el fin del soporte. A medida que los dispositivos médicos pasan por las fases del ciclo de vida, la responsabilidad de las tareas puede transferirse entre los fabricantes y el cliente. La comunicación entre las dos partes es esencial a medida que el dispositivo avanza por el ciclo de vida para que las tareas se coordinen y se reduzcan las brechas de seguridad dentro del producto.

Este documento explora las tareas necesarias para mantener la resiliencia cibernética de los dispositivos médicos y cómo las responsabilidades pueden cambiar de una parte a otra a lo largo de todo el producto. La responsabilidad de mantener la postura de ciberseguridad de un dispositivo médico evoluciona a lo largo del ciclo de vida de un dispositivo. El proceso comienza con el fabricante del dispositivo durante la fase de diseño y desarrollo y puede pasar cada vez más a la Organización de Prestación de Servicios de Salud (HDO) una vez que se utiliza clínicamente. Los Principios y Prácticas para la Ciberseguridad de los Dispositivos Médicos Heredados del Foro Internacional de Reguladores de Dispositivos Médicos (IMDRF) describen cuatro fases del ciclo de vida. La Administración de Alimentos y Medicamentos (FDA) proporciona requisitos para la ciberseguridad de los dispositivos médicos en la guía previa y posterior a la comercialización. Los fabricantes pueden abordar la ciberseguridad de un dispositivo durante el diseño y el desarrollo utilizando los requisitos previos a la comercialización. Los requisitos posteriores a la comercialización son necesarios debido a que los riesgos de ciberseguridad continúan evolucionando después de que el dispositivo médico llega al mercado.

Cómo gestionar el riesgo cibernético de los dispositivos médicos: de por vida

Escrito por Julia Annaloro on . Publicado en En las noticias, Seguridad de dispositivos médicos.

Expertos ofrecen consejos para gestionar inventarios crecientes y recursos para proveedores

La guía “Ciberseguridad en la industria de la salud: gestión de la seguridad de las tecnologías heredadas” (HIC-MaLTS) del HSCC ofrece a las organizaciones las mejores prácticas que se pueden utilizar para gestionar los riesgos cibernéticos de las tecnologías médicas heredadas, dijo Phil Englert, vicepresidente de seguridad de dispositivos médicos en el Centro de análisis e intercambio de información de salud.

HIC-MaLTS se ocupa de los desafíos comunes de ciberseguridad en el ámbito de la atención médica. Por ejemplo, “los distintos tipos de dispositivos médicos y las diversas ubicaciones en las que se utilizan poseen perfiles de riesgo únicos e incluyen características diagnósticas, terapéuticas, ponibles, implantables y de software como dispositivo médico, entre otras, que se pueden utilizar en hospitales, clínicas y otros entornos de atención médica no clínica y domiciliaria”, afirmó.

También en este artículo:

  • Cuatro fases del ciclo de vida de los dispositivos médicos
  • Inventarios de “vista del sistema” combinados con segmentación y controles de acceso a la red
  • Modelo de contrato de HSCC para la ciberseguridad en el ámbito de la tecnología médica 

Lea el artículo en Healthcare Infosecurity aquí. Haga clic aquí

Mejorar la ciberseguridad en la atención sanitaria: el papel de Health-ISAC

Escrito por Julia Annaloro on . Publicado en En las noticias, Seguridad de dispositivos médicos.

La participación en Health-ISAC puede hacer que los proveedores de atención médica sean menos susceptibles a hackeos y violaciones.

 

En una era de ciberamenazas cada vez más sofisticadas y prevalentes, los profesionales sanitarios se enfrentan a retos únicos para proteger los datos confidenciales de sus pacientes y mantener la integridad de sus sistemas. Una herramienta poderosa en la lucha contra la ciberdelincuencia es la participación en el Centro de Intercambio y Análisis de Información Sanitaria (Health-ISAC). Esta organización colaborativa reduce la vulnerabilidad de los profesionales sanitarios ante ataques informáticos y filtraciones.

Uno de los beneficios más importantes de ser miembro de Health-ISAC es el acceso a información sobre amenazas en tiempo real. Las ciberamenazas evolucionan rápidamente, y contar con información actualizada es fundamental para una defensa eficaz. Health-ISAC recopila y difunde información sobre amenazas emergentes, vulnerabilidades y vectores de ataque. Esta información permite a los profesionales sanitarios abordar los riesgos potenciales antes de que agentes maliciosos puedan explotarlos proactivamente. Por ejemplo, si se detecta una nueva cepa de ransomware que ataca a los sistemas sanitarios, Health-ISAC puede alertar rápidamente a sus miembros, proporcionando detalles sobre la amenaza y las estrategias de mitigación recomendadas. Esta rápida difusión de información puede marcar la diferencia entre un incidente menor y una brecha de seguridad significativa.

La ciberseguridad no es una tarea solitaria.

Lea el blog completo de Phil Englert, vicepresidente de seguridad de dispositivos médicos de Health-ISAC, en TechNation. Haga clic aquí

Inteligencia artificial, ransomware y dispositivos médicos: cómo proteger la atención sanitaria

Escrito por Julia Annaloro on . Publicado en En las noticias.

Podcast Cyber ​​Focus del Instituto McCrary

El presentador Frank Cilluffo entrevista a Errol Weiss, director de seguridad del Centro de análisis e intercambio de información sanitaria (Health ISAC).

Analizan los desafíos de ciberseguridad en constante evolución en el sector de la salud, incluidos los programas de secuestro de datos, las vulnerabilidades de la cadena de suministro y la necesidad crítica de mejores medidas de seguridad para proteger los dispositivos médicos y los datos de los pacientes. Weiss comparte conocimientos adquiridos a partir de su amplia experiencia en ciberseguridad en los servicios de salud y financieros, destacando las lecciones aprendidas, el papel del intercambio de información y la importancia de las medidas proactivas para mitigar los riesgos.

Escucha el podcast en YouTube Haga clic aquí

Los temas incluyen:

  • Salud y ransomware

  • Cortes de energía en los hospitales

  • Presupuestos cibernéticos para la salud

  • Seguridad y cumplimiento

  • Lecciones de FS

  • Tecnología del futuro

  • Dispositivos médicos

  • Intercambio de información entre sectores

  • Medidas prácticas hacia la seguridad