dispositivos médicos

Dispositivos médicos: empresas y futuro

24 noviembre, 2020 by andreagallego 1 Comment

Llegamos al último post de la asignatura, intentando añadir unas líneas futuras y empresas al tema del que hemos estado hablando, los dispositivos médicos.

Las cifras indican que las 5 empresas con mayor futuro y más rentables en la industria de los dispositivos médicos son las siguientes: [1]

Johnson & Johnson
- Valor en el mercado: 328.280.000 millones de dólares
- Beneficios: 18.500.000 millones de dólares en 2016
GE Healthcare
- Valor en el mercado: 328.280.000 millones de dólares
- Beneficios: 33.500.000 millones de dólares en 2016
Medtronic
- Valor en el mercado: 279.050.000 millones de dólares
- Beneficios: 7.166 millones de euros en 2016
Siemens
- Valor en el mercado: 121.470.000 millones de dólares
- Beneficios: 19,8 millones de euros en 2016
Philips Healthcare
- Valor en el mercado: 103.830.000 millones de dólares
- Beneficios: 5,9 millones de euros en 2016

Ya hablé sobre la empresa Medtronic en anteriores posts, ha mostrado grandes avances y ventas en los últimos años.

Siemens también se está reinventado con Siemens Healthineers, ofreciendo soluciones TI con gran importancia en la ciberseguridad, por ejemplo. [2]

Por otra parte, dejando esas a un lado, una de las empresas que más me ha llamado la atención en cuanto a TI ha sido Philips Healthcare.

Esta empresa se dedica a la fabricación de multitud de dispositivos que usamos en nuestro día a día, desde pequeños electrodomésticos hasta soluciones de consultoría.

Lo que igual no sabíamos es que también está en el mercado de los dispositivos médicos y ellos mismos se plantean unas preguntas muy interesantes: [3]

¿Cómo garantizamos la seguridad de los dispositivos médicos si el acceso a la información e imágenes de los pacientes se amplía a numerosos dispositivos, incluidos los dispositivos móviles?
¿Cuáles son las fuentes más probables de ciberataques y los mayores riesgos para los datos? ¿Cómo podemos protegerlos?
¿Cómo podemos lograr nuestros objetivos para reducir los costes operativos reduciendo al máximo las “medidas excepcionales” en nuestra infraestructura hospitalaria al conectar dispositivos médicos regulados?
Con la adopción de prácticas de seguridad variadas por parte de los fabricantes, ¿cómo podemos evaluar a nuestros proveedores de dispositivos y sistemas, y determinar en qué punto se encuentran?
¿Poseen nuestros dispositivos médicos en red la efectividad y seguridad de datos y sistemas, tal como recoge la norma IEC 80001-1?. Esto también se podría vincular a la página de movilidad.

Esas preguntas me parecen muy interesantes hacerlas cuando se va a implementar una solución TI y me parecen acertadas en nuestro entorno, por lo que las demás empresas podrían inspirarse o implementarlas en un futuro.

Esta empresa también se apoya en las recomendaciones que he ido nombrando a través de los anteriores posts.

Hasta aquí los posts sobre dispositivos médicos de la asignatura. Espero haber arrojado algo de luz en este tema tan concreto relacionándolo con la asignatura y que haya sido interesante.

Referencias

[1] << Las 5 empresas de tecnología médica más rentables >>, Clinic Cloud, consultado el 24/11/2020, https://clinic-cloud.com/blog/las-5-empresas-de-tecnologia-medica-mas-rentables/

[2] << Protecting healthcare institutions against cyberthreats >>, Siemens Healthineers, consultado el 23/11/2020, https://www.siemens-healthineers.com/support-documentation/cybersecurity

[3] << Interoperabilidad en el cuidado de la salud y seguridad de los dispositivos médicos >>, Phillips, consultado el 20/11/2020, https://www.philips.es/healthcare/articles/healthcare-interoperability-and-medical-device-security

Controles y auditoría en los dispositivos médicos

12 noviembre, 2020 by andreagallego 1 Comment

Como expliqué en el post anterior, existen múltiples formas de atacar o de poner en riesgo los dispositivos médicos que utilizamos día a día y cada vez con más vulnerables, desde ataques a través de software mal configurado, hasta la obtención de datos erróneos del paciente. Esto último podría ser fatal ya que pondría en peligro directamente al paciente. ¿Qué pasaría si “por un error informático”, le suministramos una dosis errónea de un medicamento a un paciente? El resultado podría ser fatal. Y eso no ocurre solo a los ordenadores como tal, también dispositivos que tienen los pacientes como los marcapasos o wearable que recogen datos que podrían usarse en caso de emergencia. Por lo que no podemos arriesgarnos en la salud de las personas, hay que controlar los posibles riesgos.

En el post anterior también me adelanté explicando la ISO 14971, que permite evaluar y controlar los riesgos. Este, define unos pasos a seguir. [1]

Crear un plan de gestión de riesgos para el dispositivo
- Define los pasos detallados de un dispositivo en concreto, incluyendo el análisis del riesgo, en control del riesgo, la revisión y el reporte.
Ejecutar actividades de riesgo
- Utilizar herramientas de análisis de riesgo, para reducirlos al mínimo. También es conveniente hacer un balance riesgos-beneficios.
Revisar los resultados obtenidos y realizar un reporte
- Documentar el trabajo realizado y comentar los resultados

Un concepto interesante que se puede usar para medir la probabilidad de que ocurra un riesgo y su posible resultado sería la utilización de una matriz de aceptación de riesgos, que mide con 3 colores el nivel de riesgo. [2]

Ahora que ya hemos identificado los riesgos, los hemos analizado por niveles, podemos controlarlos. La ISO 14971 sigue ayudándonos haciéndonos las siguientes preguntas.

¿Podemos reducir el riesgo?
¿Cuál es la mejor manera de hacerlo?
¿Ha funcionado el control del riesgo?
¿Es aceptable el nivel de riesgo que tenemos ahora?

HERRAMIENTAS

Si no contamos con experiencia anterior en control de riesgos, puede ser complicado evaluar cuál es la más indicada para tu problema. ¿Tiempo? Finito. ¿Herrramientas? Infinitas (más o menos). Se pueden separar básicamente en 3 tipos: Botton-up, top-down y el resto. La siguiente imagen muestra varias de las más comunes. [3]

También me parece importante destacar que solo se pueden prever los riesgos que están bajo tu control. Por ejemplo, no debemos obsesionarnos con los riesgos que acarrea una pandemia mundial, ya que no está bajo nuestro control y además es nuevo para todos.

Para terminar, también es importante evaluar los beneficios. El tipo, la magnitud o la probabilidad pueden ser unos indicadores positivos

Como ejemplo, voy a intentar establecer los posibles controles para los riesgos identificados en el anterior post: [4]

Limitar los controles de acceso –> Solamente al dispositivo que está conectado y establecer la autenticación en 2 pasos.
Actualizaciones periódicas –> Aplicar parches de seguridad es la mejor práctica.
Aplicar estándares en el código –> Testearlo rigurosamente antes de desplegarlo y establecer unas características para desarrollarlo de la mejor manera posible.
Seguridad por diseño –> Asegurar el inventario de las terceras partes en cuanto a software y hardware. También podría ser importante en el uso de canales encriptados para comunicarse con el resto del mundo.

No se puede hablar sobre los controles sin hablar de los auditores, que tienen una labor esencial en lo que llevamos hablando en este post y en muchas otras acciones. Son los responsables en cumplimentar las regulaciones y procedimientos que se utilizan.

Por ejemplo, el MDSAP (Programa de Auditoría Única de Dispositivos Médicos) es una iniciativa internacional que permite realizar una única auditoría del sistema de gestión de calidad de los fabricantes de dispositivos médicos satisfaciendo todas las regulaciones en múltiples países. De esta manera se logra centralizar un poco la forma de auditar entre los distintos países. [5]

Un ejemplo sobre ello es un artículo que he visto sobre la “gestión de equipos médicos: implementación y validación de una herramienta de auditoría”, en el que explican los detalles, pasos, etapas y la importancia de esta actividad. Es un poco extenso, pero dejo este par de imágenes de resumen. [6]

Evaluación de gestión de equipos médicos en el marco de la resolución 2003 de 2014

Resultados dinámicos de la evaluación de estándares de gestión de la tecnología en el marco de acreditación en salud

Como se puede ver en la imagen superior, el resultado es muy similar a las actividades que realizamos en clase así que es fácilmente entendible y muy visual.

Al final del artículo, vuelven a recalcar los beneficios cuando se ha aplicado la auditoría en este ámbito y la importancia de desplegarla en los mayores entornos posibles.

Para terminar, en el próximo post, el último, trataré algunos temas que se me han quedado en el tintero para finalizar con este contenido.

Referencias

[1] <<ISO 14971 and Medical Device Risk Management 101>>, Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/iso-14971-risk-management-basics/

[2] <<Creating a Medical Device Risk Management Plan and Conducting a Risk Analysis>>, Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/medical-device-risk-management-planning-analysis/

[3] <<Medical Device Risk Control and Risk Management Tools>> , Oriel Stat a Matrix, consultado el 5/11/2020, https://www.orielstat.com/blog/risk-controls-risk-management-tools/

[4] <<Device manufacturers – A Snapshot of Guidance>>, ISACA, vol 4 (2019): 30-31

[5] <<Medical Device ISO 13485:2003 Voluntary Audit Report Pilot Program; Termination of Pilot Program; Announcement of the Medical Device Single Audit Program Operational Phase>>, Océano, consultado el 5/11/2020, https://oceano.biblioteca.deusto.es/primo-explore/fulldisplay?docid=TN_cdi_proquest_reports_1749683809&context=PC&vid=deusto&lang=es_ES&search_scope=default_scope&adaptor=primo_central_multiple_fe&tab=default_tab&query=any,contains,medical%20devices%20audit

[6] <<Gestión de equipos médicos: implementación y validación de una herramienta de auditoría>>, SciELO, consultado el 5/11/2020, http://www.scielo.org.mx/scielo.php?script=sci_arttext&pid=S0188-95322017000100076

Riesgos en los dispositivos médicos

25 octubre, 2020 by andreagallego 1 Comment

En el post anterior, traté algunas cifras y tendencias de los dispositivos médicos, así como las regulaciones de los mismos. En este post me centraré más en los riesgos TI que pueden producir y su clasificación.

Es importante entender lo que hace que un dispositivo normal sea un dispositivo médico. Para ello, como hablé en el post anterior, la FDA define una clasificación basada en los riesgos de estos dispositivos. Se centra en analizar y entender el nivel de riesgo y, más importante aún, el propósito del dispositivo. [1]

También tiene en cuenta leyes y regulaciones que explicaré más adelante.

Clasificación de los dispositivos médicos

Como se puede observar en la imagen superior, está dividido en 3 clases según el nivel de riesgo. Clase 1 correspondería a nivel bajo de riesgo, clase 2 a moderado y clase 3 a alto y la FDA indica en la parte izquierda qué controles tiene que pasar para ser de una clase u otra, así como ejemplos de dispositivos reales a la derecha.

Otros ejemplos más cercanos a los que usamos todos los días, clasificados, serían: [2]

Clase I: Gafas, muletas.
Clase II: Lentillas, termómetros.
Clase III: Implantes mamarios, prótesis de cadera.

Por otro lado, los dispositivos médicos también se pueden clasificar siguiendo otros patrones. En 2019 la Universidad de Carolina del Norte y Protiviti realizaron un estudio para obtener los riesgos más populares en el ámbito de la salud. Los dividieron de la siguiente manera:

Riesgos macroeconómicos –> Es probable que afecte a las oportunidades de crecimiento de las organizaciones
Riesgos estratégicos –> Puede afectar en la estrategia para buscar oportunidades de crecimiento
Riesgos operacionales –> Puede afectar las operaciones clave de la organización en ejecutar su estrategia

A continuación, eligieron los riesgos más importantes de 2019, los clasificaron y los compararon con los 2 anteriores años. [3]

Riesgos más importantes en 2019

Al final, llegaron a la conclusión que era cierto que esos eran los riesgos que están a la orden del día y que van creciendo cada vez más a medida que pasan los años.

Para determinar la clase de un dispositivo médico, el fabricante se apoya en las normativas y guías tomando como referencia la directiva 93/42/CEE. La directiva europea 93/42/CEE relativa a los dispositivos médicos es aplicada por todos los estados miembros de la UE. [2]

Por otro lado, también es importante recordar la ISO 14971 referida a la gestión de riesgo de productos sanitarios. En esta norma se establecen los requisitos de la gestión de los riesgos para determinar la seguridad de los productos sanitarios.

Estas dos normativas diferencian también a los dispositivos normales de los médicos, por sus características y riesgos que pueden provocar.

Esta ha tenido una clara evolución durante los años, llegando a su versión más reciente en 2020.

Evolución ISO 14971:2019 à ISO 14971:2020

En el próximo post seguiré por este tema, sobre el plan y control de los riesgos.

Volviendo al tema principal de este post, los riesgos TI, voy a comentar algunos ejemplos acerca de los riesgos potenciales relacionados con los dispositivos médicos conectados, según Deloitte [4]:

Software y firmware sin testear.
Ataques de denegación de servicio.
Interferencias electromagnéticas en los dispositivos
Pérdida o robo de dispositivos médicos conectados.
Acceso de datos de dispositivos médicos móviles de forma inalámbrica.
Cambios en la configuración o reprogramación a través de malware.

Sobre todo, indican varios tipos de vulnerabilidades de seguridad y privacidad:

Descontrol de distribución de contraseñas, no desactivar las antiguas, dejarlas en cualquier sitio, sobre todo si tienen muchos permisos.
Spyware y malware.
Redes mal configuradas y con poca seguridad.
Eliminación inadecuada de datos o información del paciente, pruebas o historiales médicos.
Mantener los sistemas desactualizados y sin medidas de seguridad.

En el próximo post hablaré sobre los controles y auditoría en los dispositivos médicos, así como clasificación de los riesgos mencionados en forma de matriz.

Referencias

[1] <<Classes of Medical Devices and Risk>>, ISACA, vol 4 (2019): 30

[2] <<La clasificación de los dispositivos médicos>>, E-takescare, consultado el 21/10/2020, http://www.e-takescare.com/es/blog/medical-devices/medical-devices-classification

[3] <<Executive Perspectives on Top Risks in 2019: Healthcare Industry Group Results>>, KnowledgeLeader, consultado el 21/10/2020, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/surveyreportexecutiveperspectivestoprisks2019healthcare?

[4] << Networked medical device cybersecurity and patient safety: Perspectives of health care information cybersecurity executives>>, Deloitte, consultado el 25/10/2020, https://www2.deloitte.com/content/dam/Deloitte/us/Documents/life-sciences-health-care/us-lhsc-networked-medical-device.pdf

Cifras, tendencias y regulaciones de los dispositivos médicos

15 octubre, 2020 by andreagallego 2 Comments

El mundo de dispositivos electrónicos interconectados ha llegado para quedarse. Como comenté en el primer post, el IoMT está creciendo exponencialmente cada vez más, convirtiéndose en una parte más de nuestro día a día. El mercado del IoMT alcanzará 135.8 billones de dólares por todo el mundo para el año 2021. Los fabricantes de dispositivos médicos deben realizar numerosas regulaciones y controles de ciberseguridad para garantizar la privacidad y seguridad de los dispositivos de los usuarios y pacientes. [1]

*Dispositivos médicos implantables en la mejora de la experiencia en el paciente [2]*

Un ejemplo de ello sería la empresa Medtronic, que se encuentra la primera en el ranking con mayor volumen de ventas para el año 2024. [3]

*Ranking de las empresas de tecnología médica con mayor volumen de ventas a nivel mundial en el año 2024*

La empresa Medtronic ha mostrado grandes avances en los años recientes, instaurándose como la empresa más grande de dispositivos electrónicos. Las claves que ellos indican indispensables son reinventarse y conectar con los clientes y pacientes. Medtronic ha participado junto a Fitbit para integrar el seguimiento de actividad y salud en pacientes con diabetes, mediante una aplicación que les permite a los pacientes controlar los niveles de glucosa y optimizar el tratamiento. También indica los beneficios del ejercicio en la patología, así como diversos datos. [4]

Este es solo un ejemplo que hace que esta empresa sobresalga ante las demás y que, en los próximos años irá evolucionando aún más pudiendo seguir a la cabeza de las más importantes del mundo.

En cuanto a la división general por países, la distribución del mercado en este sector sería el siguiente, dejando a Alemania en primer lugar con un 27,1%, muy por delante del segundo de la lista. [5]

*Distribución porcentual de la cuota de mercado del sector de tecnología médica en Europa 2018, por países*

Dispositivos médicos innovadores: 3 nuevas tendencias [6]

La combinación de dispositivo y medicamento (DDCs)

Estos dispositivos serían, por ejemplo, el parche de nicotina, que lleva implantado entre nosotros varias décadas. Sin embargo, los dispositivos conectados, como puede ser un inhalador inteligente que se conecta a una aplicación móvil para registrar la tasa y dosis de uso o el anterior mencionado de Medtronic, son los que están cogiendo más fuerza y se encuentran bajo un marco normativo favorable, lo que implica que los veremos entre nosotros cada vez más.

Según un estudio de mercado actual, el mercado de los DDCs está creciendo un 8% anualmente y podría llegar en 2024 al 30% de los 600 mil millones de dólares invertidos en la compra de dispositivos médicos a nivel mundial.

Sanidad preventiva y predictiva

Un nuevo estudio publicado en España, sobre “el uso proactivo, reactivo y personalizado de la tecnología para dar apoyo a las personas mayores en sus hogares” mostró que, la combinación de sensores fijos en los hogares y wearables, combinados con dispositivos de alerta, reducían las llamadas de emergencia un 54% y los desplazamientos de ambulancia un 36%. Esto ayuda a las personas mayores a mejorar su calidad de vida siendo independientes y autosuficientes durante más tiempo.

El empleo tanto de datos biométricos como de estilo de vida, procesados por IA y combinados con Big Data ayudará a la predicción o detección temprana la aparición de problemas de salud antes de que se conviertan en problemas agudos o irreversibles.

Un ejemplo serían los dispositivos como Fitbit, que disponen de sensores biométricos capaces de evaluar ciertos parámetros de salud y detectar patrones.

Autocuidado y autogestión

Los dispositivos médicos innovadores son importantes por tres razones:

La OMS registra una falta de 7 millones de profesionales sanitarios, lo que se vaticina que llegará a 18 millones en 2050. Las tecnologías de autocuidado pueden ayudar parcialmente a combatir esta falta.
La involucración y motivación de los pacientes al autocuidado, puede resultar en muchos casos en unas de las mejores terapias.
La dignidad y orgullo de la persona siendo autosuficiente puede ser muy beneficioso.

Regulaciones

Reglamento General de Protección de Datos (GDPR): Los datos recogidos de los productos y sistemas que se realizan en la UE deben ser considerados desde una perspectiva privada. GDPR se aprobó en mayo de 2018.
Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA): Esta legislación de EEUU promueve la privacidad de los datos y la seguridad para salvaguardar la información médica.
La Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH): Es una ley de EEUU firmada en 2009 que promueve la adopción de un buen uso de las TICs en la salud.
La publicación especial (SP) Instituto nacional de estándares y tecnología (NIST) 800-53: Es un catálogo de controles de seguridad para los sistemas de información de EEUU. Organiza las actividades de ciberseguridad por su nivel más alto.

Hoy en día no existe una regulación global de los dispositivos médicos. Existen guías concretas y recomendaciones en algunos países y casos concretos. Por ello, por primera vez, la FDA creó una guía para EEUU para controlar los riesgos de ciberseguridad de los dispositivos médicos. Está resumida en la siguiente imagen. [7]

*Guía regulatoria de EEUU para para la ciberseguridad de los dispositivos médicos [7]*

En el siguiente post, seguiré esta última parte, hablando sobre los riesgos TI de los dispositivos médicos.

Referencias

[1] <<Coming Full Circle With IoMT>>, ISACA, vol 4 (2019): 31

[2] <<IoMT>>, ISACA, vol 4 (2019): 30

[3] <<Ranking de las empresas de tecnología médica con mayor volumen de ventas a nivel mundial en el año 2024>>, Statista, consultado el 14/10/2020 https://es.statista.com/estadisticas/601378/prevision-de-las-principales-empresas-de-tecnologia-medica-segun-ingresos/

[4] <<Medical devices 2030>>, KPMG, consultado el 14/10/2020, https://assets.kpmg/content/dam/kpmg/xx/pdf/2017/12/medical-devices-2030.pdf

[5] <<Distribución porcentual de la cuota de mercado del sector de tecnología médica en Europa 2018, por países>>, Statista, consultado el 14/10/2020, https://es.statista.com/estadisticas/628167/cuota-de-mercado-del-sector-de-tecnologia-medica-por-pais-en-europa/

[6] <<Dispositivos médicos innovadores: el futuro de la sanidad>>, Ennomotive, consultado el 14/10/2020, https://www.ennomotive.com/es/dispositivos-medicos-innovadores/

[7] <<Regulatory Guidance and Frameworks>>, ISACA, vol 4 (2019): 28-29

Dispositivos médicos: hitos y datos

1 octubre, 2020 by andreagallego 1 Comment

Los dispositivos médicos son definidos como instrumentos, aparatos, máquinas o incluso software utilizados en las labores de prevención, diagnóstico y tratamiento de las enfermedades. Se tratan de herramientas para detectar, controlar y tratar aquellas patologías o enfermedades que padecen los seres humanos [1].

Estos son esenciales en la prevención, diagnóstico y tratamiento de afecciones y pueden ser utilizados por personal sanitario, pacientes o personas de diferentes entornos [2].

Hitos

Estos dispositivos existen desde hace siglos en la sociedad. Existen estudios que afirman que los egipcios utilizaban bisturíes, cabestrillos, férulas o muletas desde el año 7000 a. C como mínimo.

El primer rastro que se conoce acerca de los dispositivos médicos a lo largo de la historia data del 1550 al 1300 A. C., encontrando la primera prótesis de dedo en una momia de una mujer que vivió sobre el 950 a.C. y el 710 a.C.

Se han encontrado reparaciones odontológicas en los años 650 a.C. utilizando cera de abeja de una forma muy sutil o prótesis de piernas amputadas para futuros militares.

Respecto a dispositivos en sí, el primer electrocardiógrafo data del año 1903, lo que es relativamente reciente comparando con los anteriores hallazgos. Constaba de un aparato de 250 kg y un gran volumen que requería de 5 personas para manejarlo.

Asimismo, el primer respirador eléctrico moderno fue creado en Pensilvania, en 1927 conocido como “pulmón de acero”. Consistía en una cámara de acero suficientemente grande para introducir a un adulto medio.

Todos estos descubrimientos no habrían sido posibles sin los amantes de la medicina e inventores como Willem Kolff, considerado el padre de los órganos artificiales, que inventó la primera máquina de diálisis renal, que ha salvado la vida a millones de personas en las últimas siete décadas. [3]

Datos

Se calcula que, la industria de los dispositivos médicos ha supuesto una tasa anual de crecimiento del 6% del 2001 al 2008, ya que en 2008 los ingresos por ventas de dispositivos médicos en todo el mundo ascendieron a más de 210 000 millones de dólares, lo que apunta hacia una tendencia positiva y ascendente en los próximos años. También es relevante y sorprendente destacar que el 80% de los ingresos mundiales de las ventas de dispositivos médicos proceden de Europa y América. Los Estados Unidos ocupan la primera posición de la lista (41%), seguidos del Japón (10%), Alemania (8%) y Francia (4%). [4]

Mercado de dispositivos médicos por regiones, 2009

Está claro que para que un dispositivo médico sea apropiado, debe resolver el problema por el cual se ha diseñado y fabricado, pero también es importante que cumpla unos requisitos llamados “las 4 As”. Esto hace referencia a 4 términos importantes: disponible (available), en cuanto a estar en el mercado para cualquier empresa o persona, accesible (accessible), para que esté disponible en cualquier lugar del mundo y en cualquier momento, idóneo (aptitude), referido a que cumple con el propósito y las necesidades del paciente y asequible (affordable), en cuanto a que toda empresa o persona pueda pagar su coste. Esto es importante recalcarlo ya quen o todos los lugares del mundo, tanto países en general como hospitales, por ejemplo, pueden cumplir con los 4 términos y no pueden aprovechar los beneficios de los dispositivos. [4]

IoMT

Para finalizar, otro término importante en cuanto a la historia de los dispositivos médicos es el auge de los dispositivos IoT y su aplicación en este tema. Son llamados dispositivos IoMT o IoT de la salud que son capaces de llevar estas herramientas a otro nivel.

Estos nos proporcionan la capacidad de conectarse la nube y almacenar los datos, analizarlos, intercambiar información con otros dispositivos, monitorizar a los pacientes de forma remota, mejorar la conexión médico-paciente y ahorrar costes a medio y largo plazo. [5]

Referencias

[1] <<Definición de los dispositivos médicos>>, WHO, consultado el 30/09/2020, https://www.who.int/medical_devices/definitions/es/

[2] <<La importancia de los dispositivos médicos para atender las necesidades sanitarias mundiales>>, iSanidad, consultado el 30/09/2020, http://isanidad.com/33512/la-importancia-de-los-dispositivos-medicos-para-atender-las-necesidades-sanitarias-mundiales/

[3] <<Hitos en la historia de los dispositivos médicos>>, Dispositivos médicos, consultado el 30/09/2020,https://dispositivosmedicos.org.mx/hitos-en-la-historia-de-los-dispositivos-medicos/

[4] <<Dispositivos médicos: la gestión de la discordancia>>, WHO, consultado el 30/09/2020, http://whqlibdoc.who.int/publications/2012/9789243564043_spa.pdf?ua=1

[5] << Qué es la IoT y cómo se aplica en dispositivos médicos>>, Blog de Kiversal, consultado el 30/09/2020, https://blog.kiversal.com/que-es-la-iot/

Que no hackeen tu corazón

30 noviembre, 2019 by anderarguinano 1 Comment

Esto va llegando a su fin. Hasta ahora hemos visto los riesgos que presentan los dispositivos médicos y hemos establecido una serie de posibles controles a fin de mitigar los mismos. Además, hemos observado la relevancia de la cual disponen este tipo de dispositivos en la industria.

En este post me gustaría hacer énfasis sobre algunos de los problemas más sonados en los últimos años en cuanto a dispositivos médicos respecta. No con el objetivo de asustaros o alarmaros sino de concienciar sobre la relevancia de todo lo expuesto hasta la fecha y la necesidad de informar a las autoridades pertinentes sobre este tipo de situaciones. Además, me gustaría exponer algunos de los motivos principales por los cuales el sector de la salud resulta el objetivo de tantos ataques.

¿Os acordáis de la empresa Medtronic?

En el tercer post hablamos sobre cómo esta empresa tuvo que retirar del mercado algunas bombas de insulina ya que resultaban vulnerables a ataques. No obstante, este tipo de vulnerabilidades no solo se limitan a las bombas de insulina.

A principios de este mismo año, por ejemplo, el Departamento de Seguridad Nacional de EE.UU advirtió sobre una vulnerabilidad crítica en el sistema de transmisión de datos de los implantes cardíacos de Medtronic. Este fallo permitía a los hackers modificar la configuración de los mismos. [1]

Si retrocedemos un poco más en el tiempo, en el año 2017 la FDA emitió la retirada de seis modelos de marcapasos producidos por la compañía Abbott debido a la presencia de una serie de vulnerabilidades. Estas vulnerabilidades permitían que usuarios no autorizados accedieran al dispositivo y modificaran el funcionamiento del marcapasos implantado. Esto podría resultar en daños para el paciente debido a un rápido agotamiento de la batería o a la modificación en la gestión de los latidos del paciente.

A fin de solucionar este problema la compañía desarrolló y validó una actualización correctiva para todos los dispositivos afectados. En este caso en concreto no resultó necesario intervenir a los pacientes a fin de retirar los marcapasos afectados. Sin embargo, al igual que con cualquier actualización de firmware la FDA informó sobre la existencia de una serie de riesgos asociados a la instalación incorrecta de esta actualización. Entre estos riesgos se mencionaba la posibilidad de la pérdida de la configuración del dispositivo o incluso la pérdida completa de la funcionalidad del mismo. [2]

¿Y qué debe hacer una compañía ante estas situaciones?

A fin de detectar posibles problemas de seguridad relacionados con los dispositivos médicos, la FDA requiere la utilización de “Informes de Dispositivos Médicos”. Los fabricantes están obligados a reportar eventos adversos a través de este tipo de informes. Mientras que se alienta a profesionales sanitarios, cuidadores o pacientes a presentar informes voluntarios sobre posibles eventos adversos que estos puedan apreciar. [3]

Uno de los errores más comunes que cometen los fabricantes a la hora de comunicar la situación a las organizaciones correspondientes es esperar demasiado. Y esto puede resultar comprensible hasta cierto punto. Las compañías pueden tener miedo a hacer público este tipo de situaciones debido a las consecuencias sobre su imagen corporativa, a las consecuencias económicas,…

Pero en realidad informar sobre los peligros no solo demuestra un buen hacer por parte de la compañía sino que demuestra una preocupación por la salud de sus clientes.

Los fabricantes necesitan entender que alertar a las organizaciones pertinentes acerca de problemas potenciales no siempre posee como desencadenante una retirada del producto del mercado. No hacerlo puede conducir, a su vez, a una mayor desconfianza por parte de los clientes o incluso a tener que hacer frente a multas cuantiosas.

Otro punto importante a considerar es la transparencia. Los fabricantes de dispositivos médicos deben ser francos sobre la verdadera naturaleza de la situación. Este no es el momento de endulzar los problemas. Los fabricantes deben estar preparados para divulgar el peligro potencial así como su alcance e impacto. [4]

Es importante entender que este tipo de organizaciones permiten actuar de forma más rápida al poder llegar a un mayor número de afectados.

¿Y porqué se producen tantos ataques contra este sector?

Después de investigar he podido encontrar una serie de razones [5] por las cuales el sector de la salud y por consiguiente, el de los dispositivos médicos, representan uno de los mayores objetivos para los hacktivistas:

La información privada de los pacientes posee alto valor económico para los atacantes: Los hospitales almacenan una ingente cantidad de datos. Datos confidenciales que valen mucho dinero y que pueden ser vendidos fácilmente, lo que convierte a la industria médica en un objetivo cada vez más relevante.
Dispositivos médicos como punto de entrada: Los dispositivos médicos como los rayos X, las bombas de insulina o los desfibriladores desempeñan un papel fundamental en la atención médica moderna. Sin embargo, este tipo de dispositivos pueden ser utilizados para lanzar un ataque sobre dispositivos mayores como pueden ser los servidores de un hospital. Incluso en el peor de los casos, los hackers pueden hacerse con el control completo de un dispositivo médico, impidiendo que las organizaciones sanitarias proporcionen a los pacientes la atención que requieren.
Acceso a datos remotos: Conectarse a una red de forma remota puede resultar peligroso en caso de que no se tomen las medidas oportunas. De esto hablamos también en el post anterior, en el cual mencioné la necesidad de hacer uso de canales de comunicación seguros.
Los profesionales sanitarios no están concienciados sobre los múltiples riesgos tecnológicos existentes: Cuando hablamos de seguridad, el eslabón más débil suele ser el empleado. El personal sanitario suele estar demasiado ocupado como para mantenerse informado sobre las últimas amenazas correspondientes a los dispositivos médicos. Sin embargo con que un solo dispositivo se vea comprometido, toda la red puede haber sido vulnerada.

Y ahora que ya tenemos una visión completa, me gustaría decir que a pesar de que los dispositivos médicos presenten múltiples riesgos y resulten vulnerables a ataques también facilitan la vida de muchas personas y permiten que muchas personas continúen con vida. Con el transcurso del tiempo cada vez obtendremos dispositivos médicos más seguros, eficaces y efectivos.

Ojala yo hoy no tuviera contenido para escribir este post, ya que eso implicaría que los dispositivos médicos serían completamente seguros. Ya es imposible cambiar el pasado y solo nos queda aprender de él para evolucionar hacia el futuro.

Ha sido un placer escribir para todos vosotros durante este tiempo pero esto ha llegado a su fin. Ha sido un periodo corto pero espero que os haya gustado. Como se suele decir coloquialmente “lo bueno, si breve, dos veces bueno”.

PD: Aunque se salga un poco de la línea argumental seguida durante este recorrido, no me gustaría acabar este post sin hacer mención a la necesidad de continuar investigando. Hace relativamente poco, por ejemplo, fue el día del cáncer de pulmón, una enfermedad que representa el 20,55% de defunciones en el territorio nacional. Además de resultar uno de los cánceres más letales, la calidad de vida de la cual disponen los pacientes supervivientes se ve considerablemente mermada. Es por ello que a través de este post me gustaría dar visibilidad a todas esas personas que sufren cada día las consecuencias de enfermedades como esta y recalcar la necesidad de continuar investigando. No solo en esta temática en concreto sino en la medicina en general. Solo a través de la investigación conseguiremos erradicar o paliar las consecuencias de este tipo de enfermedades y la tecnología puede resultar una gran fuente de ayuda. La investigación y cooperación son pilares fundamentales para continuar prosperando.

Y ahora sí que sí…THE END

Referencias

[1] <<Medtronic Conexus Radio Frequency Telemetry Protocol>>, CISA, acceso el día 30 de noviembre del 2019, https://www.us-cert.gov/ics/advisories/ICSMA-19-080-01

[2] <<Firmware Update to Address Cybersecurity Vulnerabilities Identified in Abbott’s (formerly St. Jude Medical’s) Implantable Cardiac Pacemakers: FDA Safety Communication>>, FDA, acceso el día 30 de noviembre del 2019, https://www.fda.gov/medical-devices/safety-communications/firmware-update-address-cybersecurity-vulnerabilities-identified-abbotts-formerly-st-jude-medicals

[3] <<Medical Device Reporting (MDR): How to Report Medical Device Problems>>, FDA, acceso el día 30 de noviembre del 2019, https://www.fda.gov/medical-devices/medical-device-safety/medical-device-reporting-mdr-how-report-medical-device-problems

[4] <<Software is a top cause of medical device recalls: Here’s what you can do>>, Medical Design & Outsourcing, acceso el día 30 de noviembre del 2019, https://www.medicaldesignandoutsourcing.com/software-leading-cause-medical-device-recalls/

[5] <<9 reasons why healthcare is the biggest target for cyberattacks>>, Swivel Secure, acceso el día 30 de noviembre del 2019, https://swivelsecure.com/solutions/healthcare/healthcare-is-the-biggest-target-for-cyberattacks/

Cuando se habla de salud, aceptar riesgos no es una opción

28 noviembre, 2019 by anderarguinano 1 Comment

En el anterior artículo pudimos ver como los dispositivos médicos pueden manipularse para administrar dosis fatales de insulina, para robar datos de pacientes o incluso para directamente dejarlos inoperativos. Estos escenarios no son ciencia ficción. Son muy reales y cada vez son más los dispositivos médicos como marcapasos, bombas de insulina o máquinas de resonancia magnética vulnerables a sufrir ataques.

Mientras investigaba me he encontrado con un artículo [1] en el cual se recoge como varios investigadores emularon el funcionamiento de un dispositivo médico en un sistema de señuelo. En el transcurso de seis meses, los malhechores se conectaron con éxito en más de 55.000 ocasiones al sistema e instalaron más de 300 malwares. Esto refleja lo expuestos que estamos ante este tipo de ataques. Los dispositivos médicos están constantemente en peligro de ser comprometidos y es por ello que todo lo expresado hasta este post cobra especial relevancia.

Cuando hablamos de temas tan sensibles como es el caso de la salud de las personas, aceptar los riesgos no es una opción.

¿Y entonces qué hacemos?

Tenemos que gestionar dichos riesgos. La seguridad del paciente debería ser ante todo la prioridad de todos los fabricantes de dispositivos médicos.

Esta gestión, además, no resulta opcional sino que es un requisito reglamentario en todo el mundo. La FDA de los EE.UU. lo exige en el Reglamento del Sistema de Calidad. Europa, a su vez, lo requiere en el nuevo Reglamento de Dispositivos Médicos.

Asimismo, Japón, Canadá, Australia, Brasil y todos los demás mercados importantes también requieren la aplicación de la gestión de riesgos, a la cual se hace referencia en sus reglamentos nacionales o en la norma ISO 13485:2016. [2] Esta norma internacional respalda la obligación de los fabricantes de asegurarse de que los productos cumplen sistemáticamente los requisitos normativos aplicables y las exigencias del cliente. [3]

Sin embargo, todos ellos se rigen por la norma ISO 14971, norma mundial para la gestión de riesgos de los dispositivos médicos. Esta norma aprobada por la FDA, especifica el proceso de gestión de riesgos mediante el cual un fabricante puede identificar los peligros asociados con su dispositivo médico, estimar y evaluar los riesgos, controlar estos riesgos y supervisar la eficacia de los controles a lo largo del ciclo de vida del producto. [4]

Parece fácil, ¿verdad? No obstante, la realidad es que la gestión de riesgos es uno de los aspectos más complejos del cumplimiento de las regulaciones.

En este post, en concreto, nos vamos a centrar en los controles para mitigar los riesgos asociados a este tipo de dispositivos.

¿Pero qué es un control?

Un control es un proceso en cual se toman decisiones y se aplican medidas que permiten reducir los riesgos a niveles especificados.

Para cada uno de los riesgos es necesario estimar el grado de impacto así como la probabilidad de que este ocurra. A partir de estos valores se puede estimar si el riesgo resulta crítico, moderado o bajo pudiendo detectar aquellos riesgos sobre los cuales deberemos aplicar controles. [5]

¿Os acordáis de los riesgos que mencionamos en el anterior artículo?

Los hemos mencionado un poco antes: accesos no autorizados, ataques contra la disponibilidad, robo de datos, cambio de ajustes de configuración, software y firmware no probado o defectuoso …

Ahora vamos a intentar establecer una serie de controles para mitigar dichos riesgos: [6][7]

Establecer controles de acceso: Consiste en limitar el acceso al dispositivo médico conectado a través de técnicas como la doble autenticación, uso de tecnologías NFC, establecimiento de contraseñas,… Este tipo de medidas permiten reducir el número de accesos no autorizados, reduciendo de esta forma también las posibilidades de sufrir un robo de datos. Sin embargo, este tipo de medidas pueden resultar polémicas en determinados casos: ¿Establecemos una contraseña de acceso en un marcapasos? De esto hablaremos un poco más adelante.
Realizar actualizaciones periódicas: Es necesario aplicar parches de seguridad al dispositivo médico con frecuencia de acuerdo con las pautas posteriores a la comercialización emitidas por la FDA.
Aplicar estándares de codificación: Muchos ciberataques exitosos han explotado vulnerabilidades presentes en el código que no han sido probadas rigurosamente antes de su implementación en un entorno activo. Una de las normas más importantes de la industria es la emitida por la Comisión Electrotécnica Internacional (IEC), IEC 62304. Este estándar proporciona una serie de características robustas sobre cómo desarrollar mejor el código.
Aplicar la seguridad mediante el diseño: Es fundamental la gestión adecuada del ciclo de vida del dispositivo médico. Tener en cuenta la seguridad desde el primer momento en el cual se va a diseñar el dispositivo resulta fundamental.
Hacer uso de canales de comunicación cifrados: Los dispositivos deberían hacer uso de canales de comunicación debidamente encriptados a fin de comunicarse con el mundo exterior.

Pero los controles no solo se deben establecer, estos a su vez deben ser auditados. Realizar auditorías periódicas de los procesos y de la tecnología ayuda a identificar las amenazas y permite mitigar los riesgos. Esta labor recae sobre los auditores, es decir las personas responsables de velar por la cumplimentación de las regulaciones correspondientes y de evaluar los procedimientos llevados a cabo por la organización.

Cuando se trata de auditorías de dispositivos médicos, las pruebas de penetración son un enfoque recomendado. Estas pruebas ayudan a evaluar lo fácil que es para los hackers violar la seguridad de los dispositivos para obtener recursos tales como datos, interrumpir operaciones o modificar sistemas que podrían afectar la salud del paciente.

Además, establecer controles no solo implica establecer iniciativas que solucionen el problema. Debemos ser conscientes también del ámbito en el cual se aplican. El otro día me enviaron una noticia en la cual el titular decía “Investigadores muestran la relación entre las brechas de datos y las tasas de mortalidad hospitalaria”. [8] Al principio pensé que la relación entre ambos factores sería las consecuencias generadas por el ataque. Sin embargo, la relación que establecía el estudio yacía en las contramedidas aplicadas por los hospitales y su consecuente aumento en los tiempos de atención a los pacientes.

Al final intentamos blindar los dispositivos y se nos olvida que en este sector en concreto se necesita de dispositivos seguros y efectivos pero que a su vez resulten rápidos en caso de emergencia. Imaginaros un médico que tuviera que estar introduciendo una contraseña mientras el paciente se está muriendo.

¿Y qué pasaría si al profesional sanitario se le ha olvidado la contraseña?

Somos humanos, estas cosas pueden pasar. Desde un punto de vista tecnológico esto supone un reto ya que cualquier mala implementación posee como resultado lo mencionado en el artículo, un aumento en la tasa de mortalidad.

Es por ello que se debe establecer una alineación entre las medidas aplicadas y el ámbito del mismo. ¿De que sirve blindar un dispositivo si en caso de emergencia no podemos acceder a él? ¿Tal vez tengamos que hacer uso de nuevas tecnologías? Y estas tecnologías a su vez, ¿ qué riesgos presentarían?

Muchas preguntas a contestar cuyas respuestas no resultan sencillas. Sin embargo lo que sí sé es que necesitamos dispositivos seguros, efectivos y alineados con el trabajo que realizan los profesionales del sector. En el momento en que se consiga alcanzar todo ello será cuando este sector alcance su máximo esplendor, pudiendo todos los ciudadanos aprovechar las ventajas que nos aporta la tecnología sin miedo a que nuestra vida corra peligro.

Y hasta que el post de hoy.

Referencias

[1] <<Closing the Gap in Medical Device Cybersecurity>>, Knowledge Leader, acceso el día 22 de noviembre del 2019, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/hotissueclosingthegapinmedicaldevicecybersecurity

[2] <<ISO 14971 and the Basics of Medical Device Risk Management Explained>>, Oriel, acceso el día 22 de noviembre del 2019, https://www.orielstat.com/blog/iso-14971-basics-explained/

[3] <<ISO 13485 Certificación para los productos sanitarios>>, Lloyd’s register, acceso el día 23 de noviembre del 2019, https://www.lr.org/es-es/iso-13485/

[4] <<Case study — Risk management for medical devices (based on ISO 14971)>>, IEEE Xplore, acceso el día 20 de noviembre del 2019, https://ieeexplore.ieee.org/document/5754492

[5] <<The definitive guide to ISO 14971 risk management for medical devices>>, Green Light, acceso el día 22 de noviembre del 2019, https://www.greenlight.guru/blog/iso-14971-risk-management

[6] <<The Internet of Medical Things – Anticipating the Risk>>, ISACA, vol 4 (2019): 27-32

[7] <<Medical device cyber security guidance for industry>>, Australian Government, acceso el día 22 de noviembre del 2019, https://www.tga.gov.au/sites/default/files/medical-device-cyber-security-guidance-industry.pdf

[8] <<Researchers Show Link Between Data Breaches and Hospital Mortality Rates>>, CPO Magazine, acceso el día 20 de noviembre del 2019, https://www.cpomagazine.com/cyber-security/researchers-show-link-between-data-breaches-and-hospital-mortality-rates/?mc_cid=61cc16581e&mc_eid=5a73407028

Con la salud no se juega

19 noviembre, 2019 by anderarguinano 1 Comment

¿Con ganas de seguir profundizando en el ámbito de los dispositivos médicos? Ojalá que así sea.

Antes de empezar me gustaría recapitular un poco. En el primer post pudimos obtener una visión general sobre el amplio mundo del IoMT, mientras que en el segundo post profundizamos en mayor medida en la relevancia de la cual disponen este tipo de dispositivos en la industria. En este post, sin embargo, nos vamos a centrar más en sus riesgos.

¿Os lo podrías imaginar no? A pesar de disponer de múltiples beneficios, los riesgos son una cuestión importante a tener en cuenta.

Algunos de los principales riesgos asociados a los dispositivos médicos son los riesgos cibernéticos. El ataque WannaCry, por ejemplo, muestra cómo la interconexión de los sistemas de salud y las débiles prácticas de seguridad pueden poner en riesgo tanto a las organizaciones como a los pacientes. Este malware afectó a dos hospitales de EE. UU, en los cuales los atacantes aprovecharon las vulnerabilidades conocidas en el software de los dispositivos para atacar. Muchos dispositivos en todo el sistema sanitario utilizan software antiguo que es difícil de actualizar, lo que significa que están indefensos a que actores maliciosos los exploten. [1]

En junio de este mismo año, por ejemplo, la empresa Medtronic tuvo que retirar del mercado algunas bombas de insulina ya que resultaban vulnerables a ataques, siendo imposible su enmienda a través de una actualización. Este tipo de dispositivos estaban siendo utilizados por alrededor de 4000 pacientes, pudiendo cualquier persona que no fuese cuidador o proveedor de atención médica conectarse de forma inalámbrica y cambiar la configuración de la bomba. Esto podría permitir a cualquier persona administrar insulina en exceso a un paciente (lo que llevaría a un nivel bajo de azúcar en sangre) o a detener la administración de insulina (lo que podría conllevar a una cetoacidosis diabética). [2]

En octubre, hace escasamente un mes, la Administración de Drogas y Alimentos (FDA) emitió una advertencia a los consumidores sobre posibles fallos de ciberseguridad en algunos dispositivos médicos. Los investigadores identificaron 11 vulnerabilidades que permitían que cualquier persona tomara el control de los dispositivos médicos a distancia y cambiara su función, causara fugas de información o incluso causara un ataque de denegación de servicio inhabilitando el dispositivo. [3]

Además, las compañías de dispositivos médicos poseen datos sensibles y de alto valor que los ciberdelincuentes o los hacktivistas pueden intentar robar. La información de identificación personal (IIP) como los datos clínicos de los pacientes son un objetivo primordial a proteger. Estos datos no solo deben ser protegidos antes atacantes externos, sino que también se deben controlar los accesos internos realizados por empleados a los datos sensibles y restringir aquellos accesos no autorizados.

Según un estudio realizado en 2016 por el Ponemon Institute, que incluyó a empresas de dispositivos médicos, el 90 por ciento de las organizaciones de salud habrían sufrido una violación de datos en los dos años previos a la realización del estudio. Ponemon estima que estos incidentes le costaron a la industria de la salud 6.200 millones de dólares. [1]

¿Y cuales son los mayores riesgos que presentan actualmente los dispositivos médicos?

De acuerdo al informe realizado por el instituto ECRI con vistas al año 2020 acerca de los peligros tecnológicos más candentes en cuanto a dispositivos médicos se refiere, [4] se pueden resaltar los siguientes:

Procedimientos quirúrgicos robóticos no probados: Los centros de salud necesitan procesos robustos para aprobar la aplicación de robots quirúrgicos en nuevos procedimientos, así como programas integrales de capacitación y acreditación para cirujanos y personal de quirófano.
Sobrecarga de alarmas, alertas y notificaciones: Se necesita un enfoque global que tenga en cuenta todas las fuentes de datos a fin de evitar la sobrecarga cognitiva que puede distraer o desensibilizar a los médicos. Esto puede hacer que profesionales sanitarios ignoren notificaciones relevantes.
Riesgos de la ciberseguridad en el entorno de atención sanitaria a domicilio: Al igual que con cualquier dispositivo médico en la red, los dispositivos médicos utilizados en el hogar deben estar protegidos contra amenazas que puedan interrumpir el flujo de datos, alterar o degradar el rendimiento del dispositivo o exponer información médica protegida.
Las tuercas y tornillos sueltos: Las tuercas y tornillos que sujetan los componentes de los dispositivos médicos pueden aflojarse con el tiempo. Si no se reparan o reemplazan estos mecánicos, se pueden producir consecuencias graves. Los dispositivos pueden volcarse, caerse o colapsar durante su uso, lo cual puede provocar lesiones o incluso la muerte de pacientes.

En este estudio también se contemplan otro tipo de peligros que no corresponden explícitamente al ámbito tecnológico, por lo que no los he tenido en cuenta en este artículo.

Ante este contexto, en 2014 la FDA (Food and Drug Administration) por primera vez en su historia y como el primer organismo regulador del mundo, identificó y abordó el riesgo de la ciberseguridad asociada a los dispositivos médicos. Esta fue la primera mejora para proteger a los pacientes desde la perspectiva de la ciberseguridad de los dispositivos médicos. [5]

Vale, bien… ¿Y cómo podemos clasificar los dispositivos médicos?

De acuerdo a la FDA, los dispositivos médicos pueden ser clasificados de acuerdo a su riesgo de la siguiente forma: [6]

Clasificación de dispositivos médicos en base a riesgos (ISACA)

Dispositivos clase I: Estos dispositivos presentan un potencial mínimo de daño al usuario y a menudo tienen un diseño más simple que los dispositivos de Clase II o Clase III. Por ejemplo, se pueden incluir dentro de esta clasificación dispositivos como los estetoscopios.
Dispositivos clase II: La mayoría de los dispositivos médicos se consideran dispositivos de Clase II. Estos dispositivos disponen de un riesgo moderado y dentro de esta clase se pueden incluir dispositivos como las sillas de ruedas eléctricas o dispositivos de rayos X.
Dispositivos clase III: Estos tipos de dispositivos normalmente son responsables de mantener con vida al paciente, son implantados o presentan un riesgo potencial de enfermedad o lesión. Ejemplos de dispositivos de Clase III pueden ser los marcapasos implantados.

Dado que la clasificación de los dispositivos médicos se basa en el riesgo, es importante entender el nivel de riesgo y, lo que es más importante, para qué se va a utilizar el dispositivo desde el punto de vista médico y su alcance.

Espero que con este artículo os haya quedado más claro la ingente cantidad de riesgos a los cuales están expuestos los dispositivos médicos (control remoto no autorizado, robado de información personal, ataques a la disponibilidad,… ) y cómo podemos clasificarlos de acuerdo a su riesgo para luego poder establecer controles.

Pero de esto hablaremos en mayor profundidad en el siguiente post, espero que os haya gustado.

Referencias

[1] <<Life Sciences, Pharmaceutical and Medical Device Companies Need to Trust Less and Question More to Keep High-Value Data Safe>>, Knowledge Leader, acceso el día 15 de noviembre del 2019, https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/hotissuekeephighvaluedatasafe

[2] <<Medtronic recalls some insulin pumps as FDA warns they can be hacked>>, CNBC, acceso el día 15 de noviembre del 2019, https://www.cnbc.com/2019/06/27/medtronic-recalls-some-insulin-pumps-as-fda-warns-they-can-be-hacked.html

[3] <<FDA issues warning on medical devices that are vulnerable to takeover from hackers>>, CNBC, acceso el día 16 de noviembre del 2019, https://www.cnbc.com/2019/10/01/fda-issues-warning-on-medical-devices-that-are-vulnerable-to-cyberattacks.html

[4] <<Top 10 Health Technology Hazards for 2020>>, ECRI Institute, acceso el día 16 de noviembre del 2019, https://assets.ecri.org/PDF/White-Papers-and-Reports/ECRI-Top-10-Technology-Hazards-2020.pdf

[5] <<The Internet of Medical Things – Anticipating the Risk>>, ISACA, vol 4 (2019): 27-32

[6] <<Classify Your Medical Device>>, FDA, acceso el día 17 de noviembre del 2019, https://www.fda.gov/medical-devices/overview-device-regulation/classify-your-medical-device

Tecnología al servicio de la salud: relevancia en la industria

11 noviembre, 2019 by anderarguinano 1 Comment

Bueno aquí estamos otra vez, ¿con ganas de conocer cómo de relevantes resultan los dispositivos médicos en la industria? Espero que sí.

Una vez habiendo comprendido de qué trata el amplio mundo del IoMT, es momento de centrarnos en como de relevantes resultan este tipo de dispositivos en el sector.

Durante el siglo XX, los avances científicos, médicos y de salud impulsaron la primera revolución de la longevidad en los Estados Unidos: un aumento de más de 30 años en la esperanza de vida. [1] Gracias a los seguimientos clínicos realizados sobre los pacientes, los expertos de la salud se volvieron más eficientes en la determinación sobre cuando tienden a surgir las enfermedades, que factores de riesgo contribuyen a su aparición y progresión,…

Sin embargo, las estadísticas no capturan lo que realmente está sucediendo dentro de nuestros cuerpos. Gracias a los avances tecnológicos (como pueden ser los rayos X, las tomografías computarizadas, cirugía laparoscópica,…), los médicos no sólo pueden diagnosticar con mayor certeza, sino también detectar posibles enfermedades antes de que los síntomas se manifiesten. Yendo un poco más allá, la tecnología no solo ha permitido facilitar las labores de diagnóstico sino tomar una posición activa en el tratamiento de determinadas patologías.

Mientras investigaba he podido observar una serie de casos que me han parecido interesantes y que me gustaría compartir con vosotros.

En el ámbito de las enfermedades torácicas, por ejemplo, se puede observar cómo la tecnología ha facilitado la vida de los pacientes hospitalizados que requieren de drenajes pleurales. Gracias a la creación de dispositivos denominados “Thopaz”, los pacientes disponen de mayor movilidad, prescindiendo así de la restricción de quedarse postrados en la cama durante el proceso. Este dispositivo no solo aporta beneficios palpables a los pacientes sino que mejora la atención sanitaria proporcionada por los profesionales médicos. Entre los múltiples beneficios que proporciona este dispositivo se podría destacar una mejora en la planificación del alta, una simplificación en el consenso entre diferentes observadores gracias a la supervisión precisa de las fugas de aire,… [2] En el Hospital Universitario Cruces, por ejemplo, los pacientes que requieren este tipo de intervenciones hacen uso de este tipo de dispositivos.

Sin embargo, imaginaros que podría pasar si el dispositivo no garantizase un correcto hermetismo e introdujese aire al pulmón o si el sistema fuese hackeado. Las consecuencias podrían ser catastróficas, pudiendo llegar incluso a provocar la muerte del paciente. De esto hablaremos en mayor profundidad durante el siguiente post.

Asimismo, en el ámbito de los trastornos neurológicos y neuropsiquiátricos la empresa norteamericana NeuroSigma ha desarrollado un tratamiento no farmacológico a fin de ofrecer una alternativa con bajo riesgo y sin medicamentos a aquellos niños que sufren de Trastorno por Déficit de Atención con Hiperactividad (TDAH). Haciendo uso de estimulación eléctrica de bajo nivel, el dispositivo intenta ser una alternativa al tratamiento con medicamentos actual. Este dispositivo ha recibido este año la aprobación por parte de la FDA. [3]

¿Pero qué es la FDA?

La FDA (Food and Drug Administration) es la agencia del gobierno de los Estados Unidos responsable de proteger la salud pública al garantizar la seguridad, eficacia y protección de los medicamentos, los cosméticos, … Y también de los dispositivos médicos [4]

En el caso del mercado europeo, los fabricantes de dispositivos médicos deben cumplir con el Reglamento sobre Dispositivos Médicos 2017/745 establecido como una enmienda a la Directiva 93/42/CEE de la UE. [5]

Esto permite disponer y hacer uso de dispositivos avalados y homologados por las autoridades de la salud.

La tecnología avanza a un ritmo frenético, que duda cabe de ello. Atendiendo a los avances mencionados previamente resulta difícil augurar con seguridad el límite hasta el cual seremos capaces de llegar los humanos.

Recuerdo que cuando yo empecé a estudiar la carrera, un profesor nos dijo: “El único límite que tenéis es vuestra imaginación”. Y qué razón tenía… Siempre que seamos capaces de imaginarlo seremos capaces de hacerlo. Puede que el resultado sea mejor o peor, o puede ser que aún no estemos preparados para llevarlo a cabo pero que una década nuestras ideas ambiciosas resulten un simple juego de niños. ¿Realidad virtual que acelere la curación de la rehabilitación? ¿Dispositivos de ultrasonido que nos eviten tener que realizarnos pruebas de diagnóstico más invasivas?

¿Quien sabe como será nuestra atención sanitaria dentro de unas décadas?

Atendiendo a un informe realizado por la consultora KPMG respecto a la situación de los dispositivos médicos en el año 2030, [6] se prevé que la industria de dispositivos médicos incremente sus ventas anuales en un 5 por ciento cada año, alcanzando la cifra de US$800 mil millones para el año 2030. Estas proyecciones reflejan una creciente demanda de nuevos e innovadores dispositivos (como pueden ser las prendas de vestir) y nuevos servicios (Procesos de intervención quirúrgicos innovadores, mecanismos de imagen innovadores, …)

Actualmente, las principales compañías que operan dentro de este sector son las siguientes:

Reparando al gráfico realizado por la compañía Proclinical [7], se puede observar cómo la empresa Medtronic es la compañía de dispositivos médicos más grande del mundo que genera la mayoría de sus ventas y ganancias del sistema de salud de los EE. UU. Esta es una de las principales compañías encargadas de desarrollar sistemas de soporte vital, bombas de insulina,…

Tal es el aumento de este sector que también han comenzado a proliferar múltiples startups destinadas a resolver problemas de salud haciendo uso de tecnologías avanzadas. Entre estas startups innovadoras podemos destacar Transplant Biomedicals, la cual ha desarrollado un nuevo sistema de transporte de órganos. Durante el proceso de transplante resulta vital reducir los tiempos de espera y conseguir la mayor calidad en el transporte. [8]

Desde mi punto de vista, a este sector aún le queda un largo camino por recorrer y los ciudadanos seremos partícipes de una nueva sanidad en la cual la tecnología cobrará un papel protagonista. Para mi siempre y cuando se garantice que los dispositivos creados no resulten perjudiciales para la salud y se contemplen los posibles riesgos asociados a los mismos estableciendo salvaguardas para evitarlos, bienvenidos serán.

Espero que este post os haya resultado interesante y os haya permitido obtener una visión más completa sobre la relevancia que están cobrando este tipo de soluciones en la sociedad. Y por supuesto, si tenéis cualquier tipo de duda siempre me podéis dejar un comentario. Yo encantado de contestaros.

!Nos vemos¡

Referencias

[1] <<The Future of Smart Health>>, IEEE Xplore Digital Library, acceso el día 9 de noviembre del 2019, https://ieeexplore.ieee.org/document/7742289

[2] <<Sistema de supervision y drenaje torácico digital Thopaz>>, Medela Healthcare, acceso el día 8 de noviembre del 2019, https://www.medelahealthcare.es/soluciones/drenaje-cardiotoracico/thopaz

[3] <<Aprobado por la FDA el primer dispositivo médico para el tratamiento del TDAH>>, IM Médico Hospitalario, acceso el día 8 de noviembre del 2019, https://www.immedicohospitalario.es/noticia/16368/aprobado-por-la-fda-el-primer-dispositivo-medico-para-el-tratamiento

[4] <<What we do>>, U.S Food and Drug Administration, acceso el día 7 de noviembre del 2019, https://www.fda.gov/about-fda/what-we-do

[5] <<Medical Devices>>, European Commission, acceso el día 8 de noviembre del 2019, https://ec.europa.eu/growth/sectors/medical-devices_en

[6] <<Medical Devices 2030>>, KPMG, acceso el día 9 de noviembre del 2019, https://assets.kpmg/content/dam/kpmg/xx/pdf/2017/12/medical-devices-2030.pdf

[7] <<The top 10 medical device companies (2019)>>, Proclinical, acceso el día 9 de noviembre del 2019, https://www.proclinical.com/blogs/2019-5/the-top-10-medical-device-companies-2019

[8] <<3 startups que están revolucionando los avances en el sector de la salud>>, Emprendedores, acceso el día 9 de noviembre del 2019, https://www.emprendedores.es/ideas-de-negocio/a25638554/startups-salud-revolucionan-avances-tecnologia-sector-medicina/

Tecnología al servicio de la salud: introducción al mundo IoMT

23 octubre, 2019 by anderarguinano 2 Comments

Internet of things in healthcare, Medical Internet of Things, IoMT,… podemos encontrar multitud de términos que hacen referencia a una misma realidad. ¿Pero sabemos verdaderamente a que se refieren?

No se si alguna vez habréis escuchado estos términos o si los habréis leído en alguna noticia, pero tal vez si os hablo del Apple Watch o de las pulseras Fitbit la cosa cambie. Estos dispositivos además de proporcionar funcionalidades como la consulta de notificaciones o el envío de mensajes, permiten monitorizar el estado físico del usuario a través de un conjunto de sensores.

Si nos abstraemos de estos ejemplos concretos, el Medical Internet of Things o en su forma abreviada IoMT se podría definir como el conjunto de aplicaciones o dispositivos médicos que digitalizan y transforman la atención sanitaria. [1] Dicho de otra manera, se podría definir como un tipo de tecnología formada usualmente por un conjunto de sensores, los cuales aprovechando el poder de las comunicaciones se integran con otro tipo de sistemas a fin de promover un nuevo modelo médico más moderno.

Este tipo de tecnologías no solo permiten monitorizar, informar o notificar a los ciudadanos sobre estilos de vida poco saludables, sino que también pueden proporcionar a los proveedores de atención médica datos reales con el objetivo de identificar posibles problemas antes de que se vuelvan críticos. Este tipo de dispositivos no pretenden sustituir a los proveedores sanitarios, sino que tratan de proporcionar datos para reducir las ineficiencias y el derroche en el sistema sanitario.

Gracias a la ingente cantidad de datos que fluyen continuamente desde este tipo de dispositivos, los facultativos médicos pueden llegar a conclusiones más rápidas y veraces. Por ejemplo, la famosa empresa de Cupertino, Apple, ha anunciado este año el lanzamiento de tres estudios innovadores en el sector de la salud, en los cuales se hará uso de los datos capturados por los dispositivos de la compañía. [2]

Dentro de este ámbito, podemos distinguir dos áreas principales: [3]

Dispositivos wearable: Hace referencia a aquellos dispositivos electrónicos que pueden ser ubicados en alguna parte de nuestro cuerpo. De esta forma, el usuario puede interactuar con ellos en múltiples contextos. Ejemplo de este tipo de dispositivos pueden ser las pulseras de actividad, monitorizadores del estado de salud, …
Dispositivos non wearable: Dispositivos que se encuentran en hospitales o clínicas. Se trata de dispositivos más específicos y que bien por su precio o su complejidad requieren de manipulación por parte de profesionales sanitarios.

Pero… ¿Es esto una moda pasajera o el inicio de un nueva forma de hacer medicina?

La medicina es una ciencia que se remonta a la antigua Grecia, motivada inicialmente por la necesidad de curar las heridas de guerra. [4] Una de las principales figuras en este ámbito debido a sus aportaciones y su conocimiento es Hipócrates, quien alegaba que “Debemos volvernos a la naturaleza misma, a las observaciones del cuerpo en cuanto a salud y enfermedad, para aprender la verdad”.

Por lo tanto, la medicina es una ciencia antigua que ha ido evolucionando y mejorando a lo largo de la historia. De la misma forma, la tecnología también ha evolucionado a un ritmo vertiginoso haciendo que su uso se vea extendido a casi todos los ámbitos de la vida. Y la medicina, como no, es uno de ellos. Si bien la tecnología no puede detener el envejecimiento ni erradicar las enfermedades crónicas de momento, al menos pretende facilitar la labor de diagnóstico y control ejercida por los profesionales sanitarios.

De acuerdo a un estudio realizado por la consultora Frost & Sullivan, [5] se estima que para el año 2024 el mercado asociado a este tipo de dispositivos alcance la cifra de 10.9 billones. Asimismo, se prevé que para ese mismo año el mercado IoMT crezca en un 30,29%.

Por lo que los dispositivos conectados médicos están aquí para quedarse y no hay vuelta atrás. Sin embargo, no es oro todo lo que reluce. Este tipo de tecnologías plantean una serie de riesgos siendo necesario establecer una serie de controles a fin de garantizar tanto la integridad de los datos de los pacientes así como su integridad física. No se nos puede olvidar que este ámbito resulta muy sensible. Es por ello que se requiere de cierto tipo de regulaciones que permitan garantizar su correcto uso.

En mi opinión, la tecnología aún tiene mucho que aportar a este sector tan poco explotado y los beneficios asociados a este tipo de avances pueden resultar inmensurables. No obstante, estamos hablando de la salud de las personas por lo que toda cautela es poca.

Y bueno si queréis saber más acerca de la relevancia que tienen este tipo de tecnologías en la industria…

¡Nos vemos en el siguiente post!

PD: Para terminar, me gustaría dejaros aquí una frase que me ha invitado a reflexionar sobre la importancia que tiene estar sanos y como este tipo de tecnologías pueden ayudarnos a alcanzar dicho objetivo:

“La salud no lo es todo pero sin ella, todo lo demás es nada.”

Arthur Schopenhauer, filósofo alemán

Referencias

[1] <<¿Que es la IoMT?>>, Blog de Kiversal, acceso el día 20 de octubre del 2019, https://blog.kiversal.com/que-es-la-iomt/

[2] <<Apple announces three groundbreaking health studies>>, Apple Newsroom, acceso el día 20 de octubre del 2019, https://www.apple.com/newsroom/2019/09/apple-announces-three-groundbreaking-health-studies/

[3] <<The Internet of Medical Things – Anticipating the Risk>>, ISACA, vol 4 (2019): 27-32

[4]<<La medicina en la Grecia antigua: el nacimiento de una ciencia>>, National Geographic, acceso el día 20 de octubre del 2019, https://www.nationalgeographic.com.es/historia/grandes-reportajes/la-medicina-en-la-grecia-antigua_7023/6

[5] <<2019 Healthcare predictions unleashed – Growth opportunities, technology and trends>>, Frost & Sullivan, acceso el día 20 de octubre del 2019, https://apacmed.org/content/uploads/2019/03/Frost-Sullivan-2019-Medical-Devices-Outlook_20190227.pdf