Hackear un corazón humano es posible

Comparta este Artículo en:

Dick Cheney, exvicepresidente de EE.UU., confesó en 2013 la vulnerabilidad de su marcapasos, por la que los médicos decidieron deshabilitarle la comunicación inalámbrica del dispositivo que cuidaba de su corazón por si alguien intentaba atentar con su vida mediante un ataque remoto.

La tecnología juega en la salud un papel vital.

La digitalización y la hiperconectividad forman parte de un día a día en el que los informes médicos han abandonado ya el tradicional sistema de papel al mismo tiempo que se pueden hacer consultas vía online o nacen aplicaciones destinadas a vigilar nuestra salud.

Estas «apps» ayudan al usuario a controlar su ritmo cardiaco, por ejemplo, sin sustituir nunca una prescripción médica.

Por tanto, la ciberseguridad, parte fundamental de la tecnología, afecta al también al sector sanitario.

Las brechas de seguridad en dispositivos médicos pueden provocar consecuencias indeseadas.

De hecho, en 2012, el popular famoso «hacker» Barnaby Jack demostró cómo se podía manipular remotamente un marcapasos para que emitiese un shock eléctrico potencialmente mortal.

La ciberdelincuencia, una vez más, demuestra que no entiende de barreras.

G DATA, compañía especializada en soluciones de seguridad, alerta, en este sentido, de la necesidad de incorporar en los dispositivos sanitarios «security by design» (seguridad por diseño).

Esta situación es el resultado del Internet de las Cosas (IoT).

Todo está conectado y la salud también, haciendo que los pacientes sean incluso más vulnerables que antes.

Por tanto, el hecho de que un marcapasos o una bomba de medicación conectada puedan ser interceptadas por un ciberdelincuente que pretende matar a una persona, exige que sean diseñados pensando en los patrones de seguridad necesarios para evitar este tipo de ataques.

De hecho, millones de datos de pacientes están en riesgo por los agujeros de seguridad informática en el sector sanitario.

G Data recuerda cómo en agosto de 2016 un equipo de investigadores de seguridad descubrió una vulnerabilidad en un marcapasos fabricado por Abbott Laboratories, uno de los principales proveedores del mundo de desfibriladores, marcapasos y otros equipos médicos.

La vulnerabilidad estaba en los transmisores del dispositivo de tal manera que un «hacker» podía chequear el estado del marcapasos y su configuración de forma remota siempre que el paciente se encontrara físicamente en el radio de acción de dicho transmisor.

Si quería, el atacante podía por ejemplo, administrar descargas innecesarias o hacer que el dispositivo falle en el momento en que más se necesita.

El fabricante del dispositivo lanzó una actualización de «software» para solucionar dicho «bug» y la FDA informó a los pacientes y médicos sobre cómo actualizar el software.

En 2015, también, G Data recuerda otro caso de un investigador alemán que logró desactivar la función de ventilación de un dispositivo de anestesia conectado.

Poco después se supo que parte del hardware funcionaba con un estándar de seguridad de 1990.

Y es que uno de los graves fallos del sector sanitario es que cuenta con un sistema de seguridad obsoleto: bombas de insulina, máquinas de rayos X o escáneres, y marcapasos, entre otros, que son muy fáciles de «hackear».

En la actualidad, los hospitales, por ejemplo, trabajan con ecógrafos que funcionan con Windows 95.

Aunque «no se han reportado casos en los que los dispositivos afectados fueran sometidos a ataques reales, este incidente deja claro que la seguridad informática tiene que desempeñar un papel importante en el diseño de productos y dispositivos sanitarios», recuerda G Data.

Los dispositivos del sector sanitario deben cumplir con el requisito de «security by design», lo que implica un hardware o software riguroso y certificado antes de ser comercializado.

«Este proceso de certificación puede llevar años y ser muy costoso para los fabricantes -explica G Data-.

Hardware y software médico tienen además opciones muy limitadas cuando hablamos actualizaciones.

A menudo estas actualizaciones y parches de seguridad para los dispositivos médicos son escasos y poco regulares, en el supuesto de que los haya».

Además, con la llegada de «ransomware» surge una posibilidad que conviene tener en cuenta y prevenir antes que curar: la amenaza real de que alguien sea capaz de extorsionar a los pacientes o a los centros de salud con la posibilidad de desactivar los sistemas vitales para los enfermos.

Para la compañía especializada en soluciones de seguridad, fabricantes e investigadores deben colaborar y actuar de forma muy responsable.

Fuente: ABC

Artículos relacionados: