O fabricante de dispositivos médicos Medtronic expandiu seu recall (recolhimento de produto) de controles remotos para suas bombas de insulina MiniMed 508 e MiniMed Paradigm.

O motivo? Os dispositivos são um potencial risco de segurança cibernética. Segundo a Food and Drug Administration (FDA), dos EUA, pessoas não autorizadas podem acessar os dispositivos para alterar a quantidade de insulina fornecida a um paciente.

O FDA diz que este é um recall de Classe 1. Este é o tipo mais sério e urgente, pois esses dispositivos “podem causar ferimentos graves ou morte”.

Os controles remotos afetados são o MMT-500 e o MMT-503. Ambos são modelos mais antigos, que usam tecnologia de última geração e funcionam com o MiniMed 508 e a família de bombas de insulina MiniMed Paradigm.

A empresa diz que quem ainda usa um controle remoto em recall deve parar imediatamente, seguir as instruções para desconectar o controlador e devolvê-lo à Medtronic. (É possível ver instruções mais detalhadas aqui).

O problema é que os malfeitores podem gravar e reproduzir a frequência de rádio sem fio que o controle remoto usa para se comunicar com as bombas de insulina.

O controle remoto em si, funciona para programar a quantidade de insulina que uma pessoa precisa, sem a necessidade de pressionar nenhum botão da bomba.

Resumindo, um hacker pode adulterar propositalmente a quantidade de insulina administrada a um paciente com diabetes, podendo causar a morte.

Tecnicamente, esta não é a primeira vez que a Medtronic emitiu um recall sobre esses dispositivos. O primeiro recall foi emitido em agosto de 2018 e instruiu os usuários sobre como desativar o recurso de programação remota quando não estiver em uso.

No entanto, apenas os clientes com bombas na garantia foram notificados. A diferença é que o recall agora se estende a qualquer pessoa que possa estar usando esses dispositivos e comprou um controle remoto.

Em sua declaração, a Medtronic também afirma que os “riscos potenciais associados ao controle remoto MiniMed superam os benefícios de seu uso contínuo”. Isso é enorme, porque os dispositivos da Medtronic representam cerca de 60% do mercado de bombas de insulina dos EUA.

Ainda que nem a Medtronic nem a FDA tenham recebido relatórios sobre casos do tipo, esse é um problema sério — e que não desaparecerá tão cedo.

Ataques cibernéticos contra hospitais aumentaram durante a pandemia Covid-19. Infelizmente, isso também coloca os dispositivos médicos conectados em risco de interrupções — e a ameaça não é hipotética.

Um relatório recente do Wall Street Journal detalhou um ataque de ransomware (ladrões de sistema) em 2019, em um hospital do Alabama, que supostamente dificultou o acesso das enfermeiras aos monitores de batimentos cardíacos fetais.

A situação levou à falta de sinais de alerta da equipe de que o feto estava em perigo. Isso causou graves danos cerebrais quando o bebê nasceu e, eventualmente, causou sua morte.

Outro problema é o número de dispositivos antigos de médicos ainda em uso, que não estão equipados para resistir aos riscos modernos de segurança cibernética.

A FDA está ciente de quão vulneráveis ​​os dispositivos médicos podem ser.

Assine a newsletter do Gizmodo

Em 2019, a agência emitiu um alerta sobre 11 vulnerabilidades de software que poderiam permitir que pessoas não autorizadas assumissem o controle de dispositivos médicos e redes hospitalares.

Uma olhada na página de segurança cibernética a FDA é uma leitura preocupante da gravidade do problema e, em 2018, eles propuseram recomendações atualizadas para ajudar os fabricantes a proteger seus produtos contra ameaças.