Sanidad retira varios mandos de bombas de insulina por riesgo de hackeo

La Agencia Española de Medicamentos y Productos Sanitarios (AEMPS) ha informado sobre el cese de la utilización y la retirada del mercado de varios dispositivos utilizados por personas diabéticas para activar a distancia sus bombas de insulina ante el riego de que estos puedan ser utilizados por terceras personas. "Una persona no autorizada que se encontrara cerca del usuario podría copiar las señales de radiofrecuencia inalámbricas del mando a distancia del usuario y reproducirlas posteriormente. Esto podría dar lugar a una hipoglucemia si se administra insulina adicional", explica el organismo, dependiente del Ministerio de Sanidad.

Todos los controles remotos de los que Sanidad tiene constancia hasta la fecha fueron fabricados por Medtronic MiniMed en Estados Unidos y se distribuyeron en España a través de la empresa Medtronic Iberica SA. Los modelos afectados son el MMT-500 y el MMT-503, y se utilizan con las bombas de insulina MiniMed 508 o con la familia de bombas de insulina MiniMed Paradigm.

TE PUEDE INTERESAR

Así ha construido este diabético andaluz su propio páncreas artificial

José Pichel

La empresa está enviando una nota de aviso a los centros sanitarios encargados de efectuar el seguimiento de pacientes que disponen de los mandos a distancia MiniMed incluidos en el apartado de productos afectados, junto con una carta dirigida a los propios pacientes, para informarles del problema detectado y de las acciones a seguir. "Debe dejar de usar y desconectar inmediatamente el mando a distancia, desactivar la función remota y devolver el mando a distancia a Medtronic", resume el texto.

El mando a distancia de Medtronic, que se comunica con la bomba de insulina mediante radiofrecuencia (RF) inalámbrica, sirve para programar la administración de una cantidad determinada de insulina (o bolus) en la bomba de Medtronic sin pulsar ningún botón de la bomba. En mayo de 2018, un investigador de ciberseguridad externo identificó un riesgo potencial relacionado con estos aparatos. Sus conclusiones apuntaban que la bomba era vulnerable si se daban las siguientes condiciones:

• Que la opción remoto de la bomba esté activada. Este ajuste no está activado de fábrica y es el usuario el que debe activarlo.
• Que el ID del mando a distancia del usuario esté registrado en la bomba.
• La opción Easy Bolus tendría que estar activada y debe haberse programado un incremento de bolus en la bomba.
• Una persona no autorizada tendría que estar cerca del usuario, con el equipo necesario para copiar las señales de radiofrecuencia activado cuando el usuario esté administrando un bolus con el mando a distancia.
• La persona no autorizada tendría que estar muy cerca del usuario para reproducir las señales de radiofrecuencia y así poder administrar un bolus remoto malintencionado.
• El usuario tendría que ignorar las alertas de la bomba que indican que se está suministrando un bolus remoto.

¿Qué pueden hacer los afectados?

La AEMPS recomienda a los pacientes que estén utilizando los mandos a distancia afectados seguir los siguientes pasos:

1. Verifica que has recibido la nota de aviso de la empresa para pacientes. En caso de no haberla recibido, contacta con tu profesional sanitario para que te haga entrega de la misma.
2. Deja de utilizar el mando a distancia y desconéctalo de su bomba, siguiendo los pasos incluidos en el anexo de la nota de aviso de la empresa.
3. Ponte en contacto con el servicio técnico de la empresa Medtronic Ibérica SA, en el 900 120 330, para la resolución de dudas o problemas relacionados con los productos afectados.
4. Si consideras que necesitas un consejo médico adicional, contacta con tu profesional sanitario.