Las bombas de infusión de alta tecnología de los hospitales son vulnerables a daños y jáqueres

LUNES, 21 de marzo de 2022 (HealthDay News) -- Es probable que haya visto una bomba de infusión, aunque el nombre quizá haga que suene como una misteriosa tecnología médica.

Estos dispositivos administran el flujo de los medicamentos y fluidos intravenosos de los pacientes. Ayudan a proveer fluidos adicionales a las personas en las salas de emergencias, administran los anticuerpos monoclonales a las personas con COVID-19, y bombean los medicamentos de quimioterapia a los pacientes con cáncer.

Las bombas de infusión de alta tecnología de los hospitales son vulnerables a daños y jáqueres

"Si ve un drama en la televisión, son las cajas al lado de la cama. Los tubos van de una bolsa de medicamentos a la bomba y luego al paciente", explicó Erin Sparnon, gerente sénior de ingeniería de evaluación de dispositivos de ECRI, un grupo sin fines de lucro dedicado a la calidad y la seguridad de la atención de la salud.

Pero la utilidad generalizada de estos dispositivos omnipresentes también ha hecho que sean un importante peligro tecnológico para los hospitales de EE. UU., advierten los expertos.

Las bombas de infusión pueden hacer que un paciente reciba una cantidad insuficiente o excesiva de un medicamento, lo que potencialmente pone en riesgo a las vidas de los pacientes enfermos de gravedad. El plástico puede agrietarse, las bisagras pueden pinzar, los componentes electrónicos pueden fallar, las pilas pueden gastarse... y un paciente puede ponerse en peligro.

"Cada día, en EE. UU. hay millones de bombas de infusión en funcionamiento. La buena noticia es que la inmensa mayoría están bien. La mala noticia es que cada día puede suceder un problema entre un millón", apuntó Sparnon.

"Por eso las bombas de infusión reciben mucha atención, porque son ubicuas. Están en todas partes, y se usan en pacientes en estado crítico para unos fármacos críticos", apuntó Sparnon. "Recibimos con regularidad informes de ámbitos de la atención de la salud en que los pacientes han sufrido lesiones debido a daños en las bombas".

Las bombas de infusión dañadas llegaron al puesto número tres de la lista de los 10 principales peligros tecnológicos de 2022 de ECRI, debido sobre todo al potencial de algún fallo mecánico, dijo Sparnon.

Pero otros han planteado preocupaciones respecto a que las bombas de infusión "inteligentes" conectadas al wifi podrían jaquearse y manipularse para hacer daño a los pacientes.

Aun así, Sparnon aseguró que una bomba de infusión que se ha estropeado o dañado de alguna forma plantea un riesgo de seguridad mucho mayor y más concreto que la posibilidad de una bomba jaqueada.

"Sé que suena muy chévere, pero no hay informes de un paciente lesionado debido al jaqueo", aseguró Sparnon. "Enfatizaría mucho más los problemas de las bombas dañadas, para tener un sentido de la escala".

Pero a principios de mes, Unit 42, el equipo de seguridad informática de Palo Alto Networks, publicó un informe en que anotaba que se habían detectado brechas de seguridad en unas 150,000 bombas de infusión, lo que las pone en un mayor riesgo de que unos atacantes las vulneren.

"Hay una gran cantidad de vulnerabilidades conocidas que son específicas de las bombas de infusión, que se relacionan de manera específica con la fuga de información sensible, el acceso no autorizado y la denegación de servicio del dispositivo", apuntó Aveek Das, investigador de Unit 42. "Estas vulnerabilidades están bien documentadas, y basándonos en nuestro estudio encontramos que una o más de estas vulnerabilidades afectan a un 75 por ciento de las bombas que analizamos".

Más bombas de infusión, más probabilidades de daño

Las bombas de infusión no son un problema nuevo para la seguridad de la atención de la salud.

Ya entre mediados y finales de la década de los 2000, la Administración de Alimentos y Medicamentos (FDA) de EE. UU. había recibido unos 56,000 informes de eventos adversos asociados con las bombas, y se emitieron 87 retiradas para resolver problemas específicos de seguridad.

Además, las bombas de infusión se usan de forma más común en la atención de la salud, casi en todos los lugares donde se administran fluidos intravenosos.

"Si piensa en hace unos 40 años, en realidad las bombas de infusión se utilizaban solo para un determinado subconjunto de infusiones", aclaró Sparnon. "La mayoría de las cosas se administraban con una bolsa, un tubo y una válvula.

A medida que el uso de las bombas se ha hecho más común, su desgaste cotidiano ha aumentado, apuntó Sparnon.

"No es inusual que un hospital de 200 camas tengan cientos de bombas de infusión que gestionar", dijo Sparnon. "Como hay tantas bombas que se usan en tantas terapias distintas, se llevan de una habitación a otra. Son un recurso escaso en algunos centros".

Las bombas pueden resultar abolladas por la puerta de un elevador, dañarse si se caen, o simplemente descomponerse con el tiempo por el uso intenso, comentó Sparnon. Y a cada rato aparecen nuevas formas de dañar estas bombas.

Un ejemplo es la pandemia.

"Hubo un nuevo énfasis en la limpieza de los equipos entre un paciente y otro. Esto es bueno, porque el equipo se debe limpiar entre los pacientes, para reducir el riesgo de transmitir ciertos gérmenes de un paciente al otro", dijo Sparnon.

"Pero, en algunos casos, los hospitales no seguían las indicaciones de uso sobre cómo limpiar el equipo, y quizá hayan estado usando toallitas o soluciones que no fueran compatibles con el equipo, o usaban métodos de limpieza incompatibles, básicamente al restregarlo demasiado", explicó Sparnon.

El plástico de una bomba se puede dañar mediante una limpieza agresiva o unos desinfectantes agresivos pueden agrietarlo, haciendo que caigan fluidos en los componentes electrónicos interiores del dispositivo. "A las máquinas electrónicas delicadas no les gusta que les goteen cosas dentro", anotó Sparnon.

"Hace 20 años, creo que la gente no limpiaba las bombas de infusión con tanta frecuencia", observó Sparnon. "A medida que hemos aumentado el énfasis en el control de las infecciones, una consecuencia accidental es que ahora debemos prestar más atención para garantizar que el proceso de limpieza que implementemos sea compatible con lo que el suplidor ha evaluado".

Estos son solo los problemas cotidianos con una bomba de infusión. Los dispositivos también siguen siendo objeto de retiradas, por una variedad de defectos distintos.

Das anotó que la FDA emitió siete retiradas de bombas de infusión o de sus componentes en 2021, y nueve en 2020.

Una de las retiradas más recientes ocurrió en diciembre, cuando Baxter Healthcare retiró más de 277,000 dispositivos de infusión debido a un sistema de alarmas defectuoso. La compañía había recibido tres informes de muertes de pacientes vinculadas potencialmente con el defecto, además de 51 informes de lesiones graves.

Las bombas 'inteligentes' conllevan un riesgo de jaqueo

Como se anotó, a Sparnon le preocupan más los problemas mecánicos de las bombas que el potencial de que los dispositivos sean víctimas del jaqueo. El informe de ECRI ni siquiera menciona el jaqueo como un problema, y se enfoca más bien en las bombas dañadas.

Las bombas de infusión "inteligentes" se comunican a través del wifi con un servidor dedicado que suministra instrucciones sobre la dosificación del medicamento y otras funciones, dijo Sparnon.

"Es una bomba que habla con su propio servidor", indicó Sparnon. "Su propio servidor, que entonces sirve como entrada a otros sistemas informáticos dentro del hospital... no es que la bomba entre a internet para averiguar información o recibir programación".

Pero otros, como Unit 42, creen que el jaqueo es un problema serio para las bombas de infusión inteligentes.

Entre los defectos de los dispositivos "se incluía la exposición a uno o más de 40 vulnerabilidades de ciberseguridad conocidas" o alertas relacionadas con "unos 70 tipos adicionales de fallos de seguridad conocidos" de los dispositivos conectados a internet, según el informe.

Las vulnerabilidades detectadas por Unit 42 permitían la filtración potencial de datos sensibles de los pacientes. El grupo también anotó una variedad de alertas de seguridad que provenían de las bombas que analizaron, entre ellas intentos de inicio de sesión usando unas credenciales defectuosas del fabricante.

"Aunque quizá no sea práctico para los atacantes aprovecharse de algunas de estas vulnerabilidades y alertas a menos que estén físicamente presentes en la organización, todas representan un riesgo potencial para la seguridad general de las organizaciones de atención de la salud y la seguridad de los pacientes, sobre todo en situaciones en que los malhechores estén motivados para asignar recursos adicionales para atacar al objetivo", concluyeron los investigadores de seguridad.

"Que unos malhechores vulneren a los dispositivos tiene el potencial de afectar a la seguridad del paciente e interrumpir las operaciones del hospital", dijo Das.

"Por ejemplo, un ataque de denegación de servicio, en que un atacante envíe un tráfico de red con un diseño específico a una bomba de infusión puede hacer que la bomba no responda", señaló Das. "Además, ciertas vulnerabilidades podrían ser potencialmente explotadas para interceptar las comunicaciones de texto sin cifrar entre una bomba y su servidor, filtrando así información sensible del paciente".

Los hospitales deben reforzar la seguridad informática

Para protegerse contra el jaqueo, Unit 42 recomienda que los sistemas informáticos de la atención de la salud usen redes de "confianza cero", que requieren una verificación continua.

"De esta forma, las bombas afectadas se detectan de inmediato, lo que permite a los profesionales clínicos cambiarlas y prevenir que los programas malignos se propaguen por las redes del hospital", observó Das.

Sparnon cree que los esfuerzos de grupos como Unit 42 están haciendo que las bombas de infusión estén más seguras contra el jaqueo.

"El jaqueo de las bombas de infusión sucede en los ámbitos académicos, y eso es bueno, porque ayuda a los suplidores a averiguar cómo proteger a sus servidores de forma adecuada", aseguró Sparnon.

En cuanto al problema más común de las bombas de infusión con daños físicos, Sparnon cree que el personal clínico puede tener un importante rol en la protección de los pacientes de los dispositivos defectuosos.

"No use una bomba si tiene un daño visible o si cualquier parte del equipo parece anómala, por ejemplo si es difícil cerrar la puerta o si hay aire en una parte del aparato de la infusión en donde no se prevería ver aire", dijo Sparnon.

"Si ve una alarma en la bomba que en realidad no entiende, en ese caso debe retirar la bomba del uso y etiquetarla con una nota sobre lo que vio. Debe describir el problema, porque entonces debe enviarlo a los ingenieros médicos, el departamento del hospital que cuida el equipo y se asegura de que esté listo para su uso", dijo Sparnon.

"Quizá encuentren que una parte particular de las bombas de infusión se está desgastando con demasiada rapidez. Quizá encuentren que una alarma en particular se activa con demasiada frecuencia. Estas tendencias pueden en realidad ser útiles para que el hospital trabaje tanto internamente como con ECRI y su proveedor para averiguar qué está sucediendo", explicó.

"Lo consideraría casi como una carrera de caballos", comentó Sparnon respecto a seguir atento a las bombas de infusión. "Con el tiempo, los problemas cambian. Resolvemos los problemas, y entonces surgen otros nuevos".

Más información

La Administración de Alimentos y Medicamentos (FDA) de EE. UU. ofrece más información sobre las bombas de infusión.

Artículo por HealthDay, traducido por HolaDoctor.com

FUENTES: Erin Sparnon, senior engineering manager, device evaluation. ECRI; Aveek Das, researcher, Palo Alto Networks' Unit 42

Comparte tu opinión