Un pirata informático australiano pasó miles de horas pirateando DRM instalado por fabricantes de equipos médicos en máquinas CPAP para crear un programa gratuito que permita a los pacientes regular el proceso de tratamiento.
Christy Lynn estaba constantemente cansada, y después de muchos meses de tratar de diagnosticar el problema, uno de los médicos decidió que había adivinado cuál era el problema.
"No encajé en ninguna de las descripciones de los síntomas de la apnea", me dijo por teléfono. - Soy mujer, no tengo exceso de peso. Nunca se le ocurrió a nadie revisarme, excepto un médico que tenía un historial médico similar ".
Lynn, que vive en la zona rural de Arizona, realizó
oximetría de pulso en el hogar para medir los niveles de oxígeno en la sangre y luego realizó un estudio del sueño. Le diagnosticaron
apnea , una enfermedad debido a la cual los pacientes dejan de respirar mientras duermen por un tiempo, y que a menudo persigue a hombres con sobrepeso. Le dieron una máquina CPAP (un dispositivo para ventilación artificial de los pulmones con presión positiva constante) con una máscara, este dispositivo sopla aire en la garganta respiratoria para que las vías respiratorias permanezcan abiertas, y la enviaron a casa.
Sin embargo, un año y medio y tres
somnólogos más tarde sus síntomas no mejoraron. Su índice de apnea-hipopnea (IAH), que describe el número de paros respiratorios en un sueño, estaba en un nivel "terrible".
"Ningún médico fue capaz de reducir mi IAH y, francamente, ninguno de ellos estaba especialmente preocupado por esto", dijo. Ella comenzó a buscar ayuda en Google y se encontró con el foro
CPAPtalk.com . En él, los usuarios hablaron sobre el programa SleepyHead.
Este programa gratuito,
abierto y definitivamente no avalado por el programa de la Administración de Drogas y Alimentos de los Estados Unidos (FDA) fue el resultado de miles de horas de piratería y desarrollo dedicadas por el único desarrollador australiano Mark Watkins. Como resultado, ayudó a miles de pacientes con apnea a tomar el control de su propio tratamiento por parte de médicos con exceso de trabajo y mal remunerados. El software le da acceso al paciente a los datos del sueño generados por su máquina CPAP, pero que generalmente resultan inaccesibles, ocultos
detrás de formatos de datos propietarios que solo pueden ser leídos por un usuario autorizado (médico) utilizando un programa propietario que los pacientes no pueden descargar o incluso comprar. . SleepyHead y foros apoyados por la comunidad como CPAPtalk.com y
ApneaBoard.com han ayudado a los pacientes a evitar a los fabricantes de dispositivos médicos que prefieren no tener tales programas.
"No puedo transmitir cuánto ha cambiado mi experiencia en el uso de CPAP gracias a este programa. Es solo día y noche ”, dijo Lynn. "Tal vez solo estoy vivo gracias a ella".
La mayoría de las máquinas CPAP modernas generan una gran cantidad de datos durante el uso. Rastrean indicadores como la presión de aire promedio, AHI, número promedio de usos por noche, tasa de fuga de aire debajo de la máscara, "índice de restricción de flujo" y otros datos que describen el funcionamiento de la máquina y la calidad del sueño del paciente. Por lo general, se guardan en una tarjeta SD, que el paciente lleva al médico cada seis meses (algunos dispositivos modernos pueden transferir datos de forma inalámbrica a la aplicación; pero los datos disponibles para ver en la aplicación, como me dijeron los pacientes, rara vez son tan detallados como los que el carro realmente recolecta). Estos datos se pueden usar para cambiar el proceso de tratamiento, aumentar o disminuir los indicadores de presión umbral y otras configuraciones de la máquina, lo que puede mejorar el resultado.
Pero muchos médicos, como me han dicho varios usuarios de SleepyHead, miran estos números de pasada y luego envían a los pacientes a casa. Varios
estudios de la industria han encontrado una escasez de somnólogos, lo que significa que muy pocos médicos pueden brindar a los pacientes la atención especial que muchos anhelan. Un estudio realizado en 2015 por la Academia Estadounidense de Medicina del Sueño reveló "una grave escasez de profesionales certificados en medicina del sueño", y señaló que "en algunas partes de los Estados Unidos, esta área de la medicina está mal respaldada o no tiene ningún apoyo".
Thomas Penzel, fisiólogo del sueño, supervisor de investigación de la Sociedad Europea para la Investigación del Sueño, me dijo por correo que "cree que cualquier paciente inteligente puede hacer lo que quiera".
“El paciente puede ajustar la presión si comprende lo que está haciendo. Algunos de nuestros pacientes ajustaron su presión por sí mismos ”, agregó. "Si algo sale mal, pueden morir en la cama". Este es su riesgo personal. El CPAP no es un juguete, sino una herramienta médica ".
Estuvo de acuerdo en que la mayoría de los pacientes con apnea en todo el mundo reciben una atención insuficiente. "Los médicos no los escuchan y no tienen tiempo, y así sucesivamente en todo el mundo".
“El médico le pide que traiga un chip o una tarjeta, lo lee, pero no lee para el diagnóstico. Lo lee para seguir las reglas de la compañía de seguros y asegurarse de que use el automóvil ”, me dijo Steve Levin, un usuario de SleepyHead con sede en California. "Todo el mundo está tratando de aceptarte, enviarte y obtener ganancias a tu costa".
Algunas máquinas CPAP permiten a los pacientes ver datos fragmentarios en la pantalla, pero pocas máquinas les dan a los pacientes acceso real a todos los datos que recopilan. Un fabricante popular de CPAP, ResMed, lanza el software de análisis de datos ResScan, que, debido a
los requisitos legales, solo puede obtenerse si usted es un profesional médico o "por orden de un médico".
Tal enfoque prohibitivo para el tratamiento de la apnea y los datos de CPAP ha llevado a la aparición de una dirección completa de CPAP que se rompe a sí mismo y cambia la configuración.
La mayor parte de la discusión en los foros CPAPtalk.com y ApneaBoard.com, el último de los cuales tiene aproximadamente 71,000 usuarios registrados, gira en torno a SleepyHead, que decodifica los datos creados por las máquinas CPAP y permite que los pacientes comunes lo usen. El software literalmente descifra los datos: Watkins con gran dificultad descifró los formatos de datos patentados para cada máquina CPAP individual que el software ahora admite. Estos formatos están destinados a ser leídos únicamente por los propios programas de los fabricantes.
"Todas las máquinas tienen controles incorporados con firmas y sumas de verificación de formatos de datos, algunos son más difíciles, otros son más simples", me dijo Watkins. - Hackear el formato de archivo es un proceso complejo que requiere datos para la comparación, como resultado de lo cual es necesario cambiar la configuración en el menú de la máquina o trabajar en informes PDF creados por programas comerciales basados en conjuntos de datos conocidos que primero deben ser suplicados y recopilados de personas que tienen acceso a máquina y software ".
Watkins comenzó a trabajar en el proyecto SleepyHead hace siete años, cuando se interesó por los "secretos prohibidos" de la tarjeta SD de su propia máquina. Desde entonces, SleepyHead se ha convertido en vital para la comunidad de apnea.
"Con el tiempo, me disgustó cada vez más la forma en que la industria de CPAP usa y abusa de los problemas de las personas, y la necesidad de una herramienta de análisis de CPAP gratuita que se centre en los datos y admita todos los formatos se ha hecho evidente".
* *
Las medidas técnicas de protección de derechos de autor utilizadas para restringir el acceso a los datos a los usuarios de dispositivos están muy extendidas en una amplia variedad de industrias. El problema al que se enfrentan los usuarios de CIPAP es similar a los problemas de los
agricultores que necesitan reparar tractores John Deere, los problemas de los propietarios de cafeteras
Keurig que preparan café solo de cápsulas autorizadas y los problemas de especialistas
independientes en reparaciones electrónicas que se ven obstaculizados cada vez más en la reparación de
iPhones ,
Macbooks , servidores, aires acondicionados,
aspiradoras y dispositivos conectados a Internet de las cosas.
Los usuarios de CPAP, en particular Watkins, son parte de un nuevo movimiento de pacientes que intentan recuperar el control de sus datos. Hugo Campos, un activista,
habló con TEDx en 2011 sobre su derecho a acceder a los datos generados por su marcapasos, y
Nightscout lanzó una aplicación de craqueo de DRM que impedía a los pacientes monitorear de manera remota los medidores de glucosa en sangre de sus hijos.
Los fabricantes de dispositivos médicos generalmente no están contentos con el movimiento naciente, pero lo que hace Watkins para el proyecto SleepyHead no viola la ley.
En 2015, la Coalición de Investigadores de Dispositivos Médicos liderada por Campos
solicitó a la Biblioteca del Congreso y a la Oficina de Derechos de Autor de los Estados Unidos que exigieran una excepción
a la Ley de Derechos de Autor de la Era Digital (DMCA), la ley de derechos de autor más importante de los Estados Unidos que permitiría a los pacientes crackea legalmente sus dispositivos médicos para realizar investigaciones de seguridad y obtener acceso a los datos que crean.
La industria médica argumentó que “los pacientes que acceden directamente a los datos desde sus dispositivos pueden no entender el formato de datos o interpretarlos incorrectamente. Los derechos de acceso a los datos deben garantizarse a través de los proveedores de atención médica ".
Campos "rastreó sus datos de marcapasos con la hoja de cálculo de Google, no es la mejor opción para el paciente", dijo Andrew Sellars, abogado del Centro Berkman para Internet y la Comunidad de Harvard, en representación de los derechos de Campos. - El marcapasos transmite datos a la estación base. Él inventó interceptar esta señal para descubrir qué estaba haciendo su corazón ”.
Los fabricantes de dispositivos médicos lucharon frenéticamente contra la petición de Campos y Sellars: "Los fabricantes de dispositivos médicos tomaron la siguiente posición: los datos están en un formato con derechos de autor que cae bajo la DMCA", agregó Sellars, ahora director de la Clínica de Jurisprudencia Tecnológica y Cibernética.
La organización comercial AdvaMed, presionando por los intereses de la industria médica, lanzó una
petición bloqueando la solicitud de Kampos, declarando que "los pacientes que tienen acceso directo a los datos en sus dispositivos pueden no entender el formato de datos o interpretarlo incorrectamente". "Los derechos de acceso a los datos deben garantizarse (y ya están garantizados) a través del personal médico que cuenta con las herramientas adecuadas, capacitadas para recopilar y proteger los datos del paciente que no violen la seguridad y el funcionamiento a largo plazo de sus dispositivos".
La organización también argumentó que una excepción que legalizaría el acceso de los pacientes a los datos plantearía riesgos para la salud y la privacidad de los pacientes y podría "acelerar el proceso de descarga de la batería".
Medical Alley Association , otro fabricante de dispositivos médicos, argumentó que "si acepta esta excepción, interrumpirá directamente la interacción de médicos y pacientes, lo que provocará que los pacientes tomen decisiones sin el apoyo de su proveedor de atención médica".
Mientras tanto, la FDA
informó a la Oficina de Derechos de Autor de los EE. UU. Que cualquier dispositivo que el usuario modificó no podía anunciarse ni revenderse sin la aprobación de la FDA, y que si el paciente resultaba herido debido al cambio de máquina, sería difícil para la agencia determinar si el fabricante tenía la culpa o no. quien modificó el software. Pero al final, la FDA no intentó interferir con la adopción de la excepción: "La FDA recomienda que la conclusión final establezca que nada de eso afectará la regulación del producto en la jurisdicción de otras agencias federales".
La gran victoria del consumidor fue que la Biblioteca del Congreso
permitió que esta excepción se legalizara, no solo para Campos que intentaba acceder a los datos del marcapasos, sino también para la piratería en la que Watkins está trabajando en el proyecto SleepyHead. Este año se actualizó la excepción, y ninguno de los fabricantes de dispositivos médicos no interfirió con esto. Ninguno de los fabricantes de CPAP acordó comentar sobre la situación de este artículo.
* *
Pero solo porque piratear máquinas CPAP para acceder a datos es legal ahora no significa que los fabricantes facilitarán esta tarea. Watkins dice que sin filtraciones, piratear un nuevo formato de datos (y la mayoría de los fabricantes tiene uno) puede llevar cientos de horas. Utiliza el editor hexadecimal
Synalize It! para analizar formatos de datos e ingeniería inversa a través de datos validados enviados a Watkins por sus conocidos internos.
"Por experiencia, obtener documentación de un fabricante sin firmar un acuerdo de confidencialidad no es más fácil que obtener sangre de una piedra", dijo Watkins. "La mayoría ignora mis correos electrónicos, algunos incluso resienten mis intentos".
Los usuarios de CIPAP solicitan regularmente a Watkins que piratee su máquina, y llegó el punto de que Watkins tuvo que dejar de desarrollar el programa principal para pasar todo el tiempo dando soporte a nuevos dispositivos. Aunque realizó la mayor parte del trabajo de desarrollo de software y piratería, otros miembros de la comunidad lo ayudan con ciertos proyectos, y a veces hay intentos conjuntos de piratería, cuando los usuarios juntos comprenden formatos de datos particularmente difíciles.
"Los oxímetros de Contec fueron muy interesantes de romper, hice el pirateo del Protocolo 7, sentado después de eso toda la noche, un par de otros piratas informáticos me enviaron datos de intercepción desde puertos seriales, ayudando a descifrar protocolos usando el código de Python, verificando la importación de datos en SleepyHead", dijo el es.
Miles de horas de desarrollo no fueron en vano para Watkins: según él, sufre periódicamente síntomas de agotamiento, el desarrollo de SleepyHead es desigual y depende de su propia salud y empleo (ahora está buscando un trabajo de desarrollador remunerado).
"No trabajé porque era jefe de familia, me senté con mi hija y, aunque esto benefició al proyecto SleepyHead y a mi hija, a la larga no benefició el bienestar de mi familia", dijo. - Durante los últimos siete años, mi esposa me apoyó principalmente, quien me trató pacientemente y apoyó mi trabajo en el proyecto, pero ahora mi salud ha mejorado y mi hija ha crecido, y no me queda más que responsabilizar a la familia primero y regresar a trabajo Y hasta que llegue al ritmo de esto y encuentre un trabajo que genere ingresos y sea adecuado para mi situación, tendré que retrasar temporalmente el desarrollo del proyecto ”.
Dijo que quería crear una máquina CPAP de circuito abierto, libre de DRM, que sería fácil de reparar.
"Estoy muy contento de que mi trabajo ayude a otros, me complace recibir palabras de apoyo, donaciones, ejemplos de datos de ellos, sentir su deseo de esperar a pesar del lento desarrollo; todo esto me ayudó a seguir motivado", dijo. "Estoy orgulloso de mis logros, a pesar de que hice esto sin apoyo comercial".
Cuando se piratea una nueva máquina y se agrega a la lista de las admitidas, esto se observa en el grupo de Facebook y en los foros de CPAPtalk y Apnea Board, que también es de importancia crítica para los pacientes: la base de usuarios de los foros ayuda a los nuevos pacientes a comprender los datos que SleepyHead proporciona. También ayuda a los pacientes a decidir qué cambios hacer en su terapia y cómo deben ajustarse sus máquinas (los menús con cambios de configuración a menudo están ocultos, y solo los médicos generalmente deberían tener acceso a ellos).
"El objetivo principal de la Junta de Apnea es promover el" empoderamiento de los pacientes "cuando el paciente participa activamente en el tratamiento de su apnea", me dijo SuperSleeper, quien fundó el foro en 2004. - La industria de la apnea en su conjunto está sobrecargada y no puede proporcionar el servicio personal que requieren muchos usuarios de CPAP. "Hacen un excelente trabajo organizando eventos para los que puede obtener dinero (investigación del sueño, visitar a un médico, vender una máquina CPAP y productos relacionados), pero no tienen el tiempo y el incentivo financiero para ayudar a resolver los problemas y problemas que surgen con los usuarios de CPAP durante el tratamiento".
La Junta de Apnea se ha convertido en un bastión de información y expertos en apnea autodidacta. El foro tiene una sección privada donde los usuarios pueden descargar instrucciones destinadas a médicos. Registraron cómo ingresar al "menú clínico", en el que pueden cambiar la configuración de CPAP de acuerdo con la información sobre su terapia disponible en SleepyHead.
"Apnea Board distribuye libremente las instrucciones clínicas, publica los" secretos "de las máquinas de CPAP para que nuestros usuarios puedan aprender y, si lo desean, tomar el control de su propia terapia de apnea en sus propias manos, me dijo SuperSleeper. "Conociendo estos" secretos ", es suficiente simplemente ingresar al" menú clínico "y programar la mayoría de las máquinas de CPAP, aunque los fabricantes están complicando gradualmente esta tarea para los pacientes, y algunas máquinas tendrán que ser un poco" pirateadas ".
Levine y Lynn dicen que SleepyHead y los foros han cambiado completamente sus vidas y terapias. "Después de hacer el primer diagnóstico, te sientes solo", dijo Levin. - En el foro, la gente escribe: Hola, eso fue lo que me pasó anoche, y eso fue lo que hice. ¿Qué me recomiendan?
Lynn dijo que cuando sus médicos analizaron sus datos, observaron el promedio durante los últimos seis meses, y no en noches individuales, lo que podría diferir del resto para peor: "No cavan en los lugares donde ocurren sus problemas". Y con SleepyHead, puedo ver los números diarios y ajustar la configuración ”, dijo. - Aumenté la presión sobre la exhalación para reducir el rendimiento. Ahora me siento mucho mejor que durante el primer diagnóstico. Tengo más energía, duermo mejor ".
Varias personas con apnea con quienes hablé dicen que preocuparse por las amenazas asociadas con el autoajuste de la terapia es infundado; muchos están seguros de que estas son solo historias de terror de médicos y fabricantes de dispositivos, y todos dijeron que no podrían hacer cambios sin comprender completamente cómo funcionan estas máquinas y qué les dicen los datos.Lynn dijo que la automedicación era lo único que le funcionaba, y esa era la única opción que le quedaba. "Tengo 62 años, no tengo seguro de salud, porque no puedo pagarlo y trabajo por cuenta propia", dijo. "Sería un desastre para mí perder este programa". Si dejo de trabajar, no sé qué haría ".