¿Sería posible hackear un corazón humano? La respuesta es sí. Y no, no nos referimos en un sentido romántico, sino literal, manipulando, por ejemplo, un marcapasos. El futuro del sector de la salud tiene muchas posibilidades. Imagina que, en lugar de tener que desplazarte hasta el hospital para un chequeo médico, tu médico pudiera chequearte en remoto. O dispositivos médicos conectados a Internet que monitorizan todas nuestras funciones vitales, alertando de cualquier cosa que vaya mal. Grandes avances hacia los que nos estamos encaminando, pero para los que no estamos preparados, en términos de seguridad.

El sector de la salud desde hace tiempo es un objetivo de los ciberdelincuentes: ataques de ransomware han paralizado varios hospitales, que no tienen más remedio que pagar el rescate, aunque sea millonario, para poder obtener el acceso a los historiales y sus sistemas. Y es que los datos médicos son un gran objetivo para cibercriminales, que saben que en un entorno tan crítico no se pueden permitir estar desconectados. Algunos de los sistemas y gadgets que conforman esta medicina digitalizada e hiperconectada pueden ser inseguros y no contar con las medidas de protección necesarias que requieren servicios de este calado.

Pongamos un caso real. En 2016, un grupo de investigación de seguridad descubrió una vulnerabilidad en un marcapasos, fabricado por uno de los mayores proveedores en este tipo de dispositivos. La investigación puso de manifiesto que los transmisores usados en el marcapasos tenían un fallo que permitía comprobar el estado del dispositivo y su configuración de forma remota. Eso sí, para ello, el paciente tiene que estar en el radio de acción del transmisor, como explican los expertos en seguridad de G DATA.

Este caso tiene muchas implicaciones para la seguridad de los afectados: un atacante que conozca esta vulnerabilidad y quiera explotarla, podría configurar el dispositivo implantado en un paciente para que funcione de forma inapropiada. En este caso, administrando descargas innecesarias o agotando su propia batería para dejarlo inutilizado. Por fortuna, no se han conocido casos en los que ningún dispositivo haya sido manipulado, y el fabricante ya ha lanzado una actualización de software para solucionar este fallo de seguridad.

No es un caso aislado                                                       

Pero este ejemplo es solamente uno entre cientos. La seguridad informática de este tipo de equipos médicos, y muchos otros relacionados con el Internet de las Cosas, está en entredicho.  No todos los dispositivos son analizados cuidadosamente, pero si lo fueran, en una gran cantidad se encontrarían este tipo de problemas.

Otro caso reciente se conoció en 2015, cuando un investigador consiguió desactivar el ventilador de un equipo de anestesia, que estaba conectado a la red. Descubrió que una parte del hardware funcionaba con un protocolo de seguridad de 1990. Este año también salió a la luz que bombas de insulna vulnerables permitían administrar de forma remota dosis letales.

El problema, es que en muchos dispositivos de este tipo no está implementada la seguridad por defecto, “security by design“, es decir, desde su diseño. Muchos de los productos conectados que ya se están comercializando no cuentan con las medidas de seguridad adecuadas. Y en el caso de este tipo de dispositivos, está en juego la vida de los usuarios.

Marcapasos (1)

¿Tiene solución?

Según G DATA, aunque encontrar las vulnerabilidades de fabricantes puede ser relativamente sencillo, “hay que tener en cuenta que cualquier nuevo hardware, por sencillo que sea, o software usado en el sector salud tiene que someterse a pruebas rigurosas y necesita ser certificado antes de ser comercializado“, explican los expertos, a lo que añaden que “los criterios serán más estrictos en función del papel que desempeñen estos dispositivos en la supervivencia de un paciente. Este proceso de certificación puede llevar años y ser muy costoso para los fabricantes. Hardware y software médico tienen además opciones muy limitadas cuando hablamos actualizaciones. A menudo estas actualizaciones y parches de seguridad para los dispositivos médicos son escasos y poco regulares, en el supuesto de que los haya“.

.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Directora de Globb Security, y presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario