Hace casi diez años se descubrió la primera vulnerabilidad en un dispositivo médico, concretamente en un marcapasos, y desde entonces de demostrado que esto está lejos de desaparecer. Durante la pasada conferencia Black Hat, una pareja de investigadores hicieron una demostración en directo de lo sencillo que puede ser apagar una bomba de insulina a distancia, o instalar malware en un marcapasos.
Jonathan Butts de QED Secure Solutions y Billy Kim Rios de Whitescope dieron a conocer nueve nuevas vulnerabilidades de seguridad dentro de dispositivos médicos, las cuales podrían causar daños e incluso la muerte de los pacientes.
Algunos fabricantes de estos dispositivos aún siguen usando Windows XP para su programación
Según la investigación de Butts y Rios, en los últimos dos años se han dedicado a buscar vulnerabilidades en dispositivos médicos debido a la poca atención de los fabricantes en este segmento. Ante esto, aseguran haber trabajado con ciertas compañías con tal de resolver los fallos, pero ante la falta de interés de algunas, han tenido que trasladar sus descubrimientos al gobierno de los Estados Unidos, a través del Departamento de Seguridad Nacional y la Administración de Alimentos (DHS) y Medicamentos (FDA).
De acuerdo a los investigadores, Medtronic es la compañía con más riesgos en sus dispositivos, ya que un atacante estaría en posición de enviar descargas a los marcapasos de algunos pacientes, o bien detener el dispositivo de forma indefinida, así como frenar las dosis de insulina en algunas bombas. Todo esto de forma remota y sin que el paciente se dé cuenta.
Butts y Rios menciona que las vulnerabilidades se encuentran en la red de Medtronic, una plataforma privada basada en la nube que sirve para instalar actualizaciones a los dispositivos, así como para programarlos. El problema de esta red es que toda la información no está cifrada, además, el software no cuenta con firma digital para validar la veracidad de, por ejemplo, una actualización para un marcapasos.
Los investigadores también mencionaron que toda la plataforma de Medtronic está programada en Windows XP. Ante esto, Butts y Rios aseguran que enviaron un informe al fabricante con el objetivo de que resolvieran estos fallos, donde incluso dieron ejemplos de cómo otras compañías, con sistemas y plataformas similares, habían mitigado los riesgos.
Según la información, la respuesta de Medtronic llegó 10 meses después: "Medtronic ha evaluado las vulnerabilidades según nuestro proceso interno, determinado que estos hallazgos no mostraron nuevos riesgos potenciales de seguridad basados en la evaluación de riesgos de seguridad del producto existente. Los riesgos están controlados y el riesgo residual es aceptable".
A las pocas semanas de esto, Butts y Rios descubrieron que Medtronic había resuelto sólo una vulnerabilidad en su nube, pero al volver a indagar en la seguridad de los dispositivos, ahora se encontraron con éstos se conectaban a servidores web HTTP usando señales de radio sin cifrar. Esto permitiría que un atacante pueda acceder de forma remota a los dispositivos para modificar sus datos y programación.
Ante este nuevo descubrimiento, Butts y Rios dieron aviso a al DHS y prepararon todo para hacer una demostración pública en la conferencia Black Hat, donde mostraron como una persona con un iPhone puede alterar la operación de un marcapasos o una bomba de insulina.
Por su parte, Medtronic asegura que "han evaluado estas inquietudes y que cuentan con sólidas defensas para defender a los pacientes". Mientras que la FDA declaró: "valoramos el importante trabajo de los investigadores de seguridad. La FDA participa con investigadores de seguridad, industria, academia y la comunidad médica en los esfuerzos continuos para garantizar la seguridad y efectividad de los dispositivos médicos que enfrentan posibles amenazas cibernéticas, en todas las etapas del ciclo de vida del dispositivo".
Ver 8 comentarios
8 comentarios
whisper5
Todos estos problemas permanecen porque la informática y su electrónica son el sector económico con la seguridad menos regulada y que menos se quiere regular.
Para lanzar un medicamento, producir alimentos o fabricar coches se deben cumplir normas muy estrictas, y así debe ser porque están en juego las vidas de muchas personas. La informática está cada vez más presente en nuestras vidas y en áreas que afectan directamente a la seguridad de las personas, y sin embargo su seguridad sigue sin ser regulada. Tenemos coches que se 'hackean' remotamente, cámaras de vídeovigilancia secuestradas por 'botnets', dispositivos médicos 'hackeados' (como se indica en el artículo), hospitales paralizados por 'ramsonware', etc. Ya va siendo hora de que la seguridad informática se regule y se exija antes de lanzar al mercado productos de los que dependen las vidas de muchas personas.
tercermundista
Pedazos de *****, con la vida de los pacientes no se juega, y no deben ser baratos los dispositivos esos, deberia caerseles la cara de avaros y tacaños.
josemicoronil
Mencionáis más de una vez el hecho de que se use XP para desarrollar el software que llevan estos dispositivos, aunque tal hecho escandaloso lo veo ""normal"" (sí, entre cuatro comillas) debido a que cuando pagas las licencias de ciertos paquetes de software para programar microcontroladores entre otras cosas tienes que pagar para actualizar a versiones más modernas las cuales sí funcionan en SOs más modernos, y seguramente esta gente no quiere hacerlo; El IAR Embedded Workbench es un buen ejemplo de ello.
Lo que sí es una absoluta barbaridad es que en una transmisión usada para controlar un dispositivo médico ni se cifre la propia transmisión como tal ni tampoco se usen protocolos los cuales sólo permitan el acceso a personal autorizado. No creo que sea tan complejo meter algún tipo de criptografía asimétrica en una circuitería que ya de por sí es capaz de usar el protocolo HTTP, el cual vendría perfecto debido a que sólo el fabricante y/o el personal médico autorizado podría configurar dichos dispositivos.
Un saludo !
BlackHat
Y así nos precionan para que pongamos más datos delicados en la nube ¿Es un chiste? Ni quieren ni querrán, lo que me pregunto es parece que estos hackeos no parecen afectarle a los grandes en las tecnológicas es como si tuvieran todos sus datos en una red que si saben que es segura.