La FDA actualiza la guía de ciberseguridad para dispositivos médicos: recomendaciones previas a la comercialización para 2025

La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) publicó en junio de 2025 una guía actualizada titulada "Ciberseguridad en dispositivos médicos: Consideraciones del sistema de calidad y contenido de las presentaciones previas a la comercialización", que reemplaza la versión de 2023. Esta guía detalla las expectativas para la gestión de los riesgos de ciberseguridad a lo largo de todo el ciclo de vida de los dispositivos médicos, desde el diseño hasta el desmantelamiento.

Qué significa esto para los fabricantes de dispositivos médicos

Con la creciente integración de los dispositivos médicos con redes, sistemas hospitalarios y plataformas en la nube, estos se enfrentan a mayores riesgos de ciberseguridad. Estas vulnerabilidades pueden afectar la funcionalidad del dispositivo y poner en peligro la seguridad del paciente. Incidentes notables como el ataque del ransomware WannaCry y vulnerabilidades como URGENT/11 y SweynTooth subrayan la necesidad crítica de contar con medidas de ciberseguridad robustas en los ecosistemas de dispositivos médicos.

¿Quién se ve afectado?

• Dispositivos con software o lógica programable, ya sean en red o no
• Todos los tipos de presentación previa a la comercialización de la FDA, incluidos 510(k), PMA, De Novo, HDE, BLA e IND
• “Dispositivos cibernéticos”, según se define en la sección 524B de la Ley FD&C (dispositivos conectados a Internet con funcionalidad de software)
• Dispositivos con funciones relevantes para la ciberseguridad, incluso si no están sujetos a una presentación previa a la comercialización

Requisitos clave

1. La ciberseguridad es fundamental para la seguridad de los dispositivos

La ciberseguridad es ahora un componente fundamental de la seguridad y la eficacia de los dispositivos. El cumplimiento de la normativa del Sistema de Calidad (SQ) de la FDA exige la incorporación de la gestión de riesgos de ciberseguridad y controles de diseño.

2. Marco de desarrollo de productos seguros (SPDF)

La FDA recomienda adoptar un SPDF, un conjunto estructurado de procesos integrados en el diseño, desarrollo y mantenimiento para reducir las vulnerabilidades en las primeras etapas del ciclo de vida.

3. Gestión de riesgos sólida

Los fabricantes deben realizar:

• Modelado de amenazas para identificar y mitigar posibles vectores de ataque
• Evaluaciones de riesgos de ciberseguridad centradas en la explotabilidad, no solo en la probabilidad
• Evaluaciones de seguridad y protección para anomalías de software no resueltas
• Gestión continua de riesgos de seguridad, incluidas actualizaciones y estrategias de fin de vida útil

4. Software de terceros y SBOM

Se requiere una Lista de Materiales de Software (MBS) para documentar todos los componentes de software, en particular el software de terceros y de código abierto. La MBS debe detallar el estado del soporte y las vulnerabilidades conocidas para facilitar la aplicación oportuna de parches o reemplazos.

5. Transparencia en el etiquetado

Los fabricantes deben incluir características, configuraciones y riesgos de ciberseguridad en el etiquetado de los dispositivos para permitir a los usuarios gestionar los riesgos de manera eficaz y garantizar un funcionamiento seguro en los entornos previstos.

6. Cumplimiento de la Sección 524B de FDORA

Los “dispositivos cibernéticos” deben cumplir requisitos adicionales, entre ellos:

• Planes y procedimientos de ciberseguridad documentados
• Procesos para garantizar la ciberseguridad continua durante todo el ciclo de vida del dispositivo
• Un SBOM legible por máquina

7. Arquitectura de seguridad

Los fabricantes deben documentar la arquitectura de seguridad del dispositivo, abarcando la autenticación, el cifrado, la integridad de los datos, el registro y los mecanismos de actualización. Los controles de seguridad deben estar integrados en el diseño, no añadirse a posteriori.

8. Pruebas y métricas

Las presentaciones previas a la comercialización deben incluir resultados de pruebas de penetración, pruebas fuzz y análisis de código estático/dinámico. Los fabricantes deben realizar un seguimiento de métricas como los plazos de implementación de parches y la densidad de defectos para demostrar la robustez de la ciberseguridad.

Cómo AssurX ayuda a los fabricantes a cumplir estos requisitos

AssurX permite a los fabricantes implementar la guía de ciberseguridad de la FDA para 2025 sin agregar herramientas dispares ni interrumpir los procesos existentes. Nuestro eQMS basado en la nube Incorpora las mejores prácticas de ciberseguridad en todas nuestras soluciones, incluidas: Control de Diseño, Gestión de Riesgos y Flujos de trabajo de notificación de eventos adversosNuestra plataforma captura información sobre amenazas y requisitos de seguridad en artefactos DHF, lanza Control de Cambios o Flujos de trabajo de CAPA Cuando surgen vulnerabilidades, y más. También mantiene registros de auditoría robustos con firmas electrónicas, lo que facilita la disponibilidad de evidencia objetiva para los auditores.

Conclusión

La guía de ciberseguridad de la FDA para 2025 marca un paso significativo para abordar las crecientes amenazas digitales a los dispositivos médicos. Al vincular la ciberseguridad directamente con la seguridad y la eficacia de los dispositivos, la FDA prioriza un enfoque proactivo, transparente y sistemático. Los fabricantes deben integrar la ciberseguridad en cada etapa del ciclo de vida del dispositivo para proteger a los pacientes y a los sistemas de salud de los riesgos emergentes.

Sobre la autora

Estefanía Ojeda Es Directora de Gestión de Productos para la industria de Ciencias de la Vida en AssurX. Stephanie cuenta con más de 15 años de experiencia liderando funciones de control de calidad en diversas industrias, como la farmacéutica, la biotecnológica, la de dispositivos médicos, la de alimentos y bebidas y la manufacturera.