La FDA da un gran paso adelante para la seguridad de los dispositivos médicos

Por Danny Bradbury • 24 de septiembre de 2023

Los proyectos de ley de gastos generales de última hora son los tarros de caramelos del Capitolio. Estos proyectos de ley, que acumulan 12 meses de legislación atrasada al final del año, a menudo están llenos de 'cerdo': edulcorantes políticos utilizados en el último minuto para ganarse el favor de los electores locales de los políticos. Sin embargo, a veces pueden marcar el inicio de medidas que debieron haberse adoptado hace mucho tiempo y que, de otro modo, languidecerían en el Capitolio.

En diciembre pasado, los 1.7 billones de dólares Ley de asignaciones consolidadas (CAA) incluyó un componente crítico: una legislación que finalmente obligaría a los fabricantes de dispositivos médicos a mantenerse al tanto de la ciberseguridad después de que sus dispositivos salgan de los estantes.

La sección 3305 de la CAA modificó la Ley Federal de Alimentos, Medicamentos y Cosméticos agregando la sección 542B, "Garantizar la ciberseguridad de los dispositivos médicos". Esta nueva regulación se aplica a cualquier dispositivo cubierto por la FDA que se conecte a Internet y pueda ser vulnerable a problemas de ciberseguridad.

Un enfoque continuo hacia la ciberseguridad

Parte del lenguaje de la nueva ley proviene de un conjunto de reglas obligatorias que habían estado abriéndose paso en el Congreso. La Ley de Protección y Transformación de la Atención Médica Cibernética (PATCH), emitida en marzo de 2022, intentó legislar controles de ciberseguridad para dispositivos médicos.

Haciéndose eco de la Ley PATCH, la nueva ley obliga a los fabricantes de dispositivos médicos a brindarle a la Agencia un plan para monitorear, identificar y abordar las vulnerabilidades de ciberseguridad después del lanzamiento de los dispositivos.

Los fabricantes de dispositivos también deben adoptar un programa coordinado de divulgación de vulnerabilidades. Esto significa que ya no pueden esconder los insectos debajo de la alfombra ignorándolos o ignorando a los investigadores criándolos.

Los proveedores también deben ofrecer una lista de materiales de software (SBOM) que enumere qué componentes de software utiliza el dispositivo, en un gran guiño de la FDA a la seguridad de la cadena de suministro.

El Secretario de la FDA debe actualizar la guía de la Agencia sobre presentaciones de ciberseguridad previas a la comercialización de dispositivos médicos utilizando los comentarios de las partes interesadas, incluidos fabricantes y proveedores de atención médica. La FDA también debe publicar información y recursos sobre cómo mejorar la ciberseguridad de los dispositivos médicos cada año.

La Oficina de Responsabilidad Gubernamental de EE. UU. (GAO) también publicará un informe anual que detalla las barreras que las partes interesadas han experimentado para obtener el apoyo del gobierno federal para mejorar la ciberseguridad de los dispositivos.

El lenguaje de la CAA no es el primero que requiere algún esfuerzo de ciberseguridad por parte de los proveedores de dispositivos. La FDA ya cuenta con un Reglamento del sistema de calidad (QSR) que exige a los fabricantes de dispositivos un enfoque de ciberseguridad basado en el riesgo, lo que significa que deben identificar la probabilidad y el impacto de los riesgos cibernéticos.

Sin embargo, el QSR sólo llega hasta cierto punto. Al describir específicamente el programa de remediación de ciberseguridad en curso posterior a su lanzamiento, la nueva ley obliga a una mayor enfoque continuo hacia la ciberseguridad en lugar de un enfoque de "disparar y olvidar" que solo da fe de la seguridad del dispositivo en un único momento.

Años de lucha por la ciberseguridad

La ley, que entró en vigor el 29 de marzo de 2023, es la culminación de una larga iniciativa sobre ciberseguridad de dispositivos de la FDA. Esto se remonta a 2005, cuando la Agencia publicó ayuda sobre el manejo de dispositivos en red que contienen software comercial disponible en el mercado. En 2014, publicó su primera guía específica sobre planificación y documentación de medidas de ciberseguridad para dispositivos posventa. Actualizó esto en 2018.

Luego, en abril de 2022, publicó otro conjunto de borradores de directrices de ciberseguridad sobre las presentaciones de aprobación previa a la comercialización que reemplazaron el documento de 2018. Este documento también pedía una lista de materiales de software para rastrear componentes de terceros. Recomendó un marco de desarrollo de productos seguro para reducir las vulnerabilidades de seguridad y capacidades de actualización integradas para los dispositivos.

Si bien los esfuerzos de la agencia han sido loables, sus directrices de la FDA sobre seguridad de dispositivos hasta ahora han sido voluntarias, lo que generalmente significa que el cumplimiento de la industria será irregular.

Los expertos que han trabajado para la FDA han sugerido que la ciberseguridad ha sido una lucha cuesta arriba para la Agencia. Ni siquiera tenía una sola persona dedicada a liderar la función de ciberseguridad hasta principios de 2021, cuando creó un nuevo puesto en su Centro de Dispositivos y Salud Radiológica. El profesor de ciberseguridad Kevin Fu ocupó el puesto de director interino de ciberseguridad de dispositivos médicos cedido por la Universidad de Michigan durante un año.

En junio de 2022, después de dejar el cargo, Fu prevenido que la FDA carecía del personal o del presupuesto dedicado para abordar el creciente problema de ciberseguridad.

Que Viene Próximamente?

La FDA ha dicho que inicialmente no rechazará dispositivos únicamente por problemas con la sección 542B, prefiriendo trabajar con los proveedores en la revisión. Sin embargo, después del 1 de octubre de 2023, asumirá que los proveedores han tenido tiempo suficiente para preparar su documentación de ciberseguridad previa a la comercialización y se reservará el derecho de negarse a aceptar un dispositivo si la documentación no es aprobada.

Los requisitos no se aplicarán a los dispositivos existentes y se centrarán únicamente en los nuevos envíos. Eso significa que los dispositivos introducidos antes de finales de marzo de este año podrían continuar funcionando durante años sin requerir planes de actualización de ciberseguridad, especialmente si los hospitales consideran oportuno renovarlos para explotar sus activos.

Las regulaciones que rigen los equipos de ciberseguridad rara vez son retroactivas, por lo que es de esperar que haya pase libre para los kits en el campo. Sin embargo, este es un gran paso para responsabilizar a los proveedores de dispositivos de proteger sus dispositivos.

Se hubiera esperado que los proveedores se hubieran responsabilizado, pero lamentablemente no. El año pasado, el FBI prevenido sobre una plaga de dispositivos médicos inseguros y sin parches. La Oficina advirtió que estos dispositivos, incluidos todo, desde bombas de insulina hasta marcapasos, podrían piratearse para poner en peligro la salud del paciente. Dijo que más de cuatro de cada diez dispositivos que habían llegado al final de su vida útil aún no tenían parches o actualizaciones de seguridad.

Lograr que los proveedores se tomen esto en serio es sólo la mitad del desafío. La otra es lograr que los proveedores de atención médica apliquen parches cuando estén disponibles. Apenas un tercio de los proveedores de atención médica saben dónde están todos sus dispositivos o cuándo llega el final de su vida útil. Incluso si lo hicieran, parchear equipos sensibles que preservan vidas es un proceso desafiante. Aun así, suponemos que un pequeño paso es mejor que ninguno.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury

La seguridad cibernética 13 November 2025

Evaluación del cambio de la administración Trump en la política de ciberseguridad de EE. UU. (Banner)

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Las recientes acciones ejecutivas y las reestructuraciones de agencias marcan un cambio significativo en la estrategia federal de ciberseguridad, lo que plantea interrogantes sobre la resiliencia nacional...

danny bradbury

La seguridad cibernética 23 October 2025

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B

Septiembre marcó un hito para los defensores de la ética de la IA. La FTC emitió órdenes conforme a la Sección 6(b) a siete importantes empresas tecnológicas que producen chatbots...

danny bradbury

La FDA da un gran paso adelante para la seguridad de los dispositivos médicos

Un enfoque continuo hacia la ciberseguridad

Años de lucha por la ciberseguridad

Que Viene Próximamente?

danny bradbury

Artículos relacionados

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para la industria de TI y MSP

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Informe sobre el estado de la seguridad de la información: 11 estadísticas y tendencias clave para el sector financiero

Lea más de Danny Bradbury

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

Evaluación del cambio de política de ciberseguridad de Estados Unidos durante la administración Trump

Por qué la investigación de la FTC sobre chatbots debería preocupar a las empresas B2B