En la actualidad, los dispositivos médicos están siendo cada vez más importante en los recintos asistenciales. Desde el acceso inalámbrico en tiempo real a los parámetros de salud personales (wearables y smartwatches) hasta los dispositivos implantados dentro de un cuerpo humano. Sin embargo, ESET menciona que existen varios peligros de los dispositivos médicos en materias de ciberseguridad.
Peligros de los dispositivos médicos: vulnerabilidades y desafíos
En una conferencia de Black Hat, demostraron cómo vulnerar una bomba de insulina (ver documento). Si bien el software era genérico, los reguladores mencionaron que el integrador es el responsable de la seguridad informática en todos los niveles. Es decir, los fabricantes de estos dispositivos deben asumir la responsabilidad, sea cual sea la tecnología utilizada (Sistema Operativo, por ejemplo)
Más seguridad, mayor costo
Cierto. Está bien que el fabricante asuma la responsabilidad. No obstante, aumenta el costo y la complejidad de lanzar nuevos productos como estos al mercado. Esto genera un resultado preocupante: como las presiones del mercado fuerzan la producción de dispositivos de manera más rápida, el camino será más complejo y caro. Los pacientes desconocen el riesgo en su seguridad.
Pero, ¿hay parches de seguridad? La FDA (Administración de Alimentos y Medicamentos de EE.UU.) menciona que el fabricante debe encargarse de eso. Como se espera que algunos dispositivos estarán disponibles varios años, esto significa que se debe pagar por soporte mucho tiempo.
5 peligros de los dispositivos médicos
- Windows: varios hospitales usan versiones de Windows que no tienen soporte y son antiguas. El fabricante no puede impulsar el último parche lanzado, antes de realizar las pruebas en las unidades que fabrica, con el objetivo de identificar los posibles problemas de integración. La verificación de los parches tiende a ser compleja, por lo que los atacantes pueden explotar las vulnerabilidades y utilizarlos durante un largo período de tiempo, antes de que los fabricantes logren solucionar los problemas de seguridad.
- Bluetooth: esta tecnología posee un largo historial de vulnerabilidades que poseen los dispositivos médicos que integran monitorea e interacción. Si bien hay parches, es muy compleja la tasa de adopción real y el historial. Por ejemplo, si la medición de azúcar en sangre es controlada por un ciberdelincuente, el paciente podría tener un peligro físico real, debido a que las lecturas de los niveles de glucosa son falsas.
- Ethernet: varios dispositivos médicos se conectan a redes TCP/IP médicas, pero es complejo para médicos y pacientes saber que están siendo intervenidas por taps de red. Los ciberdelincuentes pueden espiar el tráfico y crear exploits. Los atacantes solo necesitan acceso físico por una sola vez. Debido al bajo costo, no tienen que regresar para recuperar el dispositivo.
- Teclados inalámbricos: los ciberatacantes pueden capturar datos confidenciales, como las contraseñas y la descarga e instalación de backdoors remotos para anular los avisos de advertencia de productos de seguridad.
¡Descarga la app de Aurockra y activa las notificaciones!
Discusión sobre este post