Casi medio millón de marcapasos en riesgo de hackeo

Casi medio millón de marcapasos en riesgo de hackeo

La FDA ordena actualizar de manera urgente casi medio millón de marcapasos conectados a Internet por vulnerabilidades graves presentes en los dispositivos.

Todo dispositivo electrónico es vulnerable a hackeo. Algunas vulnerabilidades son más difíciles de explotar que otras, por lo que el riesgo termina siendo menor. Pero una de las principales puertas de acceso usadas por los ciberdelincuentes es el Internet. Y hoy en día, donde tenemos cada vez más cosas conectadas a Internet, debemos prestar especial atención a este problema, pues dependiendo de qué cosas tengamos conectadas, podríamos poner en riesgo no solo información.

El caso de hoy parece sacado de una película de ciencia ficción, pero no hace falta recalcar que nos referimos a un riesgo real. Tan real que la Administración de Alimentos y Medicamentos de Estados Unidos (FDA por sus siglas en inglés) ha ordenado la inmediata actualización de casi medio millón de dispositivos. Y no de cualquier dispositivo, sino de uno que puede significar la diferencia entre la vida y la muerte de una persona: Los marcapasos.

465.000 marcapasos en riesgo de hackeo

La firma de seguridad White Scope ha analizado varios modelos de marcapasos de distintos fabricantes y ha encontrado que seis tipos de marcapasos fabricados por la empresa de tecnología médica Abbott eran vulnerables a hackeo. Los modelos con el fallo son, específicamente Accent, Anthem, Accent MRI, Accent ST, Assurity, y Allure.

Aunque no se ha revelado la naturaleza de la falla por cuestiones obvias, si advierten que un cibercriminal podría tomar control de las funciones del dispositivo con equipamiento que está disponible comercialmente al público con un valor entre 15$y 3.000$. Obviamente por las distancias necesarias para comunicarse con el dispositivo, el criminal se debe acercar lo suficiente, sin embargo, y sorteando esta limitante no tan complicada, el atacante podría cambiar la programación del dispositivo, lo que podría desencadenar daños en el paciente al propiciar una descarga acelerada de la batería o la administración de un ritmo cardíaco inadecuado.

Quizás te interese:   Usan ADN Malicioso para inyectar código arbitrario en un PC

Una actualización de firmware disponible, pero ¿Será suficiente?

La buena noticia es que, para corregir la vulnerabilidad, los pacientes solo tendrán que acercarse a su médico de confianza y solicitar la actualización del firmware de su marcapasos. Este es un procedimiento no invasivo que no dura más de tres minutos y que no requiere intervención quirúrgica.

La actualización en cuestión habilita al dispositivo para requerir autenticación al momento de realizar una conexión remota con el dispositivo. La actualización también corrige algunos fallos en el sistema, encriptación en la comunicación y la posibilidad de desactivar las características de conectividad de red del dispositivo. Cualquier marcapasos que haya sido fabricado después del 28 de agosto del 2017 vendrán con esta actualización de fábrica, por lo que no requerirán de este procedimiento de actualización.

A medida que los dispositivos médicos se interconectan cada vez más a través de Internet, redes de hospitales, otros dispositivos médicos y teléfonos inteligentes, existe un mayor riesgo de explotación de las vulnerabilidades de seguridad cibernética.

FDA en un comunicado de seguridad

No se han detectado dispositivos comprometidos o personas afectadas

Aún no se han reportado dispositivos que hayan sido comprometidos debido a estas vulnerabilidades. Sin embargo, la empresa Abbott, está trabajando con la FDA, el Departamento de Seguridad Nacional de Estados Unidos (DHS, por sus siglas en inglés), varios entes reguladores globales y expertos independientes en seguridad, en un esfuerzo por fortalecer las protecciones contra el acceso no autorizado a sus dispositivos.

La rápida reacción de la firma de seguridad y los fabricantes quizás pudo evitar daños mayores o inclusive una catástrofe. Pero este evento con un titular ya de por sí alarmante, levanta muchas más alertas en los detractores de las tecnologías conectadas a Internet. Sobre todo, cuando hablamos de dispositivos que, de ser alterados, podrían poner en riesgo la vida de personas.

Quizás te interese:   Hasta los paneles solares pueden ser hackeados

¿Merece la pena el riesgo de estar conectado?

Los dispositivos médicos conectados a Internet tienen muchas ventajas, tanto para los pacientes, como para los médicos tratantes. De hecho, dispositivos de salud no tan especializados como los Fitbit, Apple Watch y similares han logrado salvar vidas por su habilidad de transmitir prácticamente en tiempo real los signos vitales de las personas a sus médicos tratantes. Sin embargo, este es un ejemplo de lo peligroso que puede ser un implante conectado a internet, sobre todo de un órgano tan delicado como lo es el corazón.

No me mal interpreten, no estoy en contra de los dispositivos conectados, pero si hay que tener en cuenta que estos dispositivos presentan un riesgo mucho mayor que, por ejemplo, una pulsera de actividad, por lo cual debería prestarse especial atención a los controles de seguridad. Sin embargo, siguen siendo bastante más los beneficios que recibe un usuario por estar conectado. Además, la cantidad de estas vulnerabilidades detectadas es realmente baja.

Sin embargo, mientras estos dispositivos conectados se vuelvan más comunes, también aumentará el interés de los cibercriminales por estudiar estos dispositivos y aprovechar sus vulnerabilidades, por lo cual los fabricantes deben ser muy estrictos desde un primer momento con el control de seguridad de sus dispositivos, porque un fallo que pase desapercibido puede poner en riesgo la vida de muchas personas que usen sus dispositivos.

Recuerden dejar sus comentarios, alimentan el debate y nos ayudan a mejorar.

Fuente: FDA Safety Alerts for Human Medical Products

Deja un comentario