Control del acceso indebido a Omnipod®

19 de marzo de 2020

 

Resumen de vulnerabilidad en ciberseguridad

La seguridad del consumidor es nuestra principal prioridad. Insulet cuenta con controles de seguridad, procedimientos y funciones de ciberseguridad integrales y líderes en el sector que permiten garantizar la seguridad de nuestros consumidores y nuestros productos. Supervisamos de manera continuada el ciclo de vida de nuestros productos para detectar posibles riesgos. Tras extensas pruebas e investigaciones realizadas junto con una empresa externa independiente, se ha descubierto una posible vulnerabilidad de seguridad en el Sistema de Administración de Insulina Omnipod® sobre la que queremos informarle.

Debido a esta vulnerabilidad, es posible que los usuarios no autorizados obtengan acceso al Pod para interceptar, modificar o interferir en las comunicaciones inalámbricas por RF (radiofrecuencia) hacia o desde el Gestor Personal de Diabetes (PDM). Esto podría permitir que un usuario no autorizado controlara la administración de insulina.

Es importante señalar que Insulet no ha recibido informes confirmados de que personas no autorizadas hayan controlado la administración de insulina utilizando esta vulnerabilidad.

Esta vulnerabilidad podría permitir a una persona controlar el Pod con un dispositivo distinto del PDM. Insulet tiene conocimiento de un grupo específico de personas diabéticas que han podido duplicar el protocolo de comunicación del Pod mediante un smartphone y un puente de red, lo que a su vez permite controlar el Pod mediante un dispositivo no autorizado. Esta práctica se conoce normalmente como "Hazlo tú mismo" (Do It Yourself [DIY]) y no está previsto su uso para el Sistema de Administración de Insulina Omnipod. Insulet no ha proporcionado a la comunidad DIY ningún tipo de información o comentario sobre el producto, e Insulet tampoco ha recibido información alguna que permita demostrar que esta forma de uso fuera de las indicaciones autorizadas sea un uso seguro del sistema.

Esta vulnerabilidad NO existe en el Sistema de Administración de Insulina Omnipod DASH®.

 

Mitigaciones

El Sistema de Administración de Insulina Omnipod se puede utilizar de forma segura según lo previsto con receta médica. Sin embargo, Insulet recomienda a las personas que estén utilizando el producto afectado y tengan preguntas relacionadas con este problema se pongan en contacto con el servicio de Atención al cliente de Insulet o hablen con su profesional sanitario sobre los riesgos de un uso continuado del producto afectado.

Además, Insulet recomienda que todos los pacientes tomen las precauciones de ciberseguridad que se indican a continuación:

  • No conecte ni permita que ningún dispositivo de terceros se conecte ni utilice ningún software no autorizado por Insulet.
  • Preste atención a las notificaciones, alarmas y alertas de la bomba. 
  • Cancele inmediatamente cualquier bolo no deseado (dosis única de insulina que se administra de una vez).
  • Supervise atentamente los niveles de glucosa en sangre y actúe según corresponda.
  • Busque ayuda médica de inmediato si experimenta síntomas de hipoglucemia grave o cetoacidosis diabética, o si la administración de insulina ha cambiado de forma inesperada.

El aviso completo emitido por ICS-CERT se puede consultar aquí.

 

Productos afectados

El siguiente modelo de bomba es vulnerable a este posible problema:

  • Sistema de Administración de Insulina Omnipod®

ID de producto/número de pedido: 19191 y 40160

UDI/modelo/número NDC: ZXP425 (paquete de 10 unidades) y ZXR425 (paquete de 10 unidades para Canadá)

 

Recursos de apoyo adicionales

Estados Unidos: Llame al equipo de Atención al cliente de Insulet:

Disponible las 24 horas en: 800-591-3455

 

Otros países: Llame al equipo de Atención al cliente específico de su país

Disponible las 24 horas, los 7 días de la semana: