La Administración de Alimentos y Medicamentos de Estados Unidos (FDA) incrementará de forma significativa su escrutinio sobre la ciberseguridad de los dispositivos médicos a medida que avanza hacia 2026, según expertos del sector. El organismo ya aplica desde octubre de 2023 una política estricta que le permite rechazar solicitudes de autorización previa a la comercialización que no cumplan con los requisitos de seguridad digital establecidos en la Sección 524B de la Ley Federal de Alimentos, Medicamentos y Cosméticos (FD&C).
En junio de 2025, la FDA publicó sus lineamientos finales tanto para las presentaciones previas a la comercialización como para las obligaciones de ciberseguridad posteriores al lanzamiento. Estas obligaciones afectan a dispositivos médicos conectados a internet o que integran software validado por los fabricantes.
Justin Kozak, líder del equipo de ciencias biológicas en Founder Shield, anticipa un cambio de enfoque para 2026: la agencia pasará de revisar documentos a verificar el desempeño real de los sistemas de seguridad.
“La FDA irá más allá de revisar los planes bajo la Sección 524B para auditar la efectividad en el mundo real de los procesos de seguridad posteriores a la comercialización”, declaró a Medical Device Network.
La Sección 524B, promulgada en 2022, exige a los fabricantes proporcionar controles de seguridad detallados, planes para divulgar vulnerabilidades y una lista de materiales de software (SBOM), entre otros requisitos. Desde la entrada en vigor de la política de rechazo a la aceptación (FTA) en 2023, los fabricantes han debido adaptarse a exigencias más estrictas antes de recibir aprobación para comercializar sus dispositivos.
El auge de la inteligencia artificial, incluida la IA generativa, está añadiendo nuevos riesgos de ciberseguridad que requieren gobernanza y diseño de seguridad especializados. Kozak subraya que esta tendencia incrementará la presión sobre las empresas, especialmente las más pequeñas, que suelen operar con presupuestos y equipos de seguridad más limitados.
“A menudo carecen de los bolsillos profundos de las empresas más grandes, lo que resulta en un escenario de ‘triple carga’”, explicó.
De acuerdo con datos de GlobalData, la inversión en ciberseguridad por parte de compañías de dispositivos médicos alcanzará los 1.200 millones de dólares en 2027, casi el doble de los 631,2 millones registrados en 2022.
Kozak recomienda a las empresas emergentes incorporar la ciberseguridad desde las etapas iniciales del desarrollo. “La estrategia más eficaz es integrar controles de seguridad automatizados en las primeras etapas del proceso de desarrollo. Corregir vulnerabilidades durante la codificación es mucho más rentable que remediarlas después de su comercialización”, concluyó.
Fuente: Medical Device Network.
fecha:
