Analizamos las vulnerabilidades en prótesis de extremidades inteligentes

Nuestros expertos han presentado un estudio sobre la seguridad de las extremidades artificiales inteligentes de Motorica en el Mobile World Congress del 2019

¿Has escuchado alguna vez uno de los chistes más famosos del campo de la seguridad de la información: “la S de IdC es de seguridad”? Los expertos de seguridad llevan años haciendo bromas sobre el Internet de las Cosas y aprovechan cada conferencia para hackear un dispositivo inteligente. Estamos tan acostumbrados que, cuando ocurre lo contrario y los investigadores concluyen que un dispositivo es bastante seguro, la sorpresa es inevitable.

Normalmente, la investigación se centra en las vulnerabilidades del IdC y cómo amenazan a los usuarios. Pero toda moneda tiene dos caras, por lo que las vulnerabilidades en los dispositivos inteligentes pueden perjudicar también a los desarrolladores, ya que pueden causar daños o filtraciones de datos, perturbar la infraestructura y romper o inutilizar los dispositivos.

En el MWC19, los expertos de nuestro equipo de ICS CERT presentaron un informe sobre las prótesis de extremidades inteligentes desarrolladas por Motorica.

Vamos a empezar por las buenas noticias. En primer lugar, nuestros expertos no encontraron vulnerabilidades en el firmware de las extremidades protésicas y, en segundo lugar, en los sistemas de Motorica los datos se mueven en una única dirección: de la prótesis a la nube. Por tanto, no es posible hackear una extremidad ajustada y tomar el control a distancia.

No obstante, un análisis más profundo reveló una serie de errores en el desarrollo de la infraestructura en la nube a la hora de recopilar y almacenar los datos de telemetría obtenidos de las prótesis que permitirían a los ciberdelincuentes:

  • Conseguir el acceso a los datos de todas las cuentas del sistema (de administrador y de usuario), incluidos los usuarios y contraseñas sin cifrar.
  • Leer, eliminar y modificar los datos de telemetría almacenados en la base de datos o añadidos a nuevas entradas.
  • Añadir nuevas cuentas (también de administrador).
  • Eliminar o modificar las cuentas existentes (por ejemplo, cambiar la contraseña de administrador).
  • Lanzar un ataque DoS contra un administrador, bloqueando el acceso al sistema.

Estas vulnerabilidades permiten daños o filtraciones de datos. Además, un ataque DoS aumentaría significativamente el tiempo necesario para responder al ciberdelincuente.

Evidentemente, nuestros investigadores informaron a Motorica de todas las vulnerabilidades detectadas y ya dieron solución a todos estos problemas. Pero, por desgracia, esta victoria tan solo es una pequeña batalla en esta guerra por la seguridad del Internet de las Cosas. Esto es lo que habría que cambiar:

  • Los desarrolladores deberían ser conscientes de las amenazas más comunes y de las mejores prácticas para generar código seguro. Esto es vital en todas las etapas del desarrollo, de hecho, nuestros investigadores demuestran que los errores en la creación de una parte del sistema pueden tener un efecto dominó catastrófico.
  • Los fabricantes de los dispositivos inteligentes deberían introducir programas de recompensa, los cuales resultan muy eficaces para el descubrimiento y enfrentamiento a las vulnerabilidades.
  • Los productos bajo desarrollo deberían someterse a evaluaciones de seguridad por parte de expertos en seguridad de la información.

Consejos