Ponerse enfermo tiene doble peligro: el equipamiento médico es vulnerable a los hackers

Los equipamientos médicos hackeados pueden costar la salud o la vida a los pacientes

Casi todo ciberataque tiene un objetivo: robarle el dinero a alguien. Aun así, ya que una gran variedad de equipamientos están siendo conectados, un dispositivo con errores puede acarrear consecuencias más graves que la pérdida de dinero. ¿Qué hay de la vida y la salud humanas?

Hablemos de los coches conectados, un ejemplo perfecto de cómo un dispositivo puede suponer un riesgo a vida o muerte. Un tercero malicioso que tome el control de un coche automático podría causar un accidente. El equipamiento médico inteligente también corre peligro. Los dispositivos diseñados para mantenernos sanos también pueden usarse para lo contrario.

Hasta la fecha, no conocemos ningún caso documentado de equipamiento médico comprometido que haya herido directamente la salud humana. Aun así, los expertos a menudo encuentran más y más vulnerabilidades nuevas en los dispositivos médicos, incluyendo los bugs que podrían usarse para causar daños físicos graves.

Robar dinero y hacer daño a personas son acciones diferentes, podríamos esperar que los hackers eligirán no dar esos pasos por razones éticas. Pero es más probable que los delincuentes no hayan querido hackear dispositivos médicos simplemente porque no saben (aún) cómo sacar provecho de dichos ataques.

De hecho, los ciberdelincuentes han atacado repetidamente hospitales con troyanos y otros malware. Por ejemplo, a principios de este año hubo varias infecciones de malware en diferentes centros médicos de EE.UU, incluido el Hollywood Presbyterian Medical Center de Los Angeles.

El hospital de Los Angeles pagó 17,000 dólares para recuperar sus archivos. Aun así, cuando el Hospital Kansas Heart trató de hacer lo mismo, los delincuentes no les devolvieron los archivos y, en lugar de ello, pidieron más dinero. Como puedes ver, no podemos confiar en los imperativos éticos para detener a los delincuentes: a algunos siempre les complacerá atacar establecimientos médicos con tal de ganar dinero fácil.

El equipamiento médico se somete a inspección y a certificación, pero solo como dispositivo médico y no como tecnología informática conectada. Por supuesto, se recomienda cumplir con los requerimientos de ciberseguridad, pero recae sobre el criterio del vendedor. Como resultado, muchos dispositivos en hospitales sufren de errores evidentes que los especialistas informáticos conocen desde hace tiempo.

La agencia federal estadounidense de Drogas y Medicamentos regula la venta de equipamientos médicos y su certificación. Para tratar de adaptarse al medio conectado siempre en evolución, publicó una guía para los fabricantes y el personal sanitario para proteger mejor los dispositivos médicos. A principios de 2016, se publicó el borrador de un documento hermano, pero todas las medidas ofrecidas son recomendaciones. Por lo que no es obligatorio proteger los dispositivos médicos que son críticos para salvar vidas humanas.

Negligencia mortal

Los fabricantes de los equipamientos pueden pedir ayuda a los expertos en ciberseguridad, pero en realidad hacen a menudo lo contrario y rechazan prestar sus dispositivos para que sean verificados. Los expertos tienen que comprar por su cuenta equipamiento de segunda mano para comprobar la protección de estos. Por ejemplo, Billy Rios, que conoce muy bien los dispositivos conectados, a veces también examina dispositivos médicos.

Hace unos dos años, Rios probó las bombas de infusión de Hospira que se distribuyen a miles de hospitales del mundo. Los resultados fueron alarmantes: las bombas de inyección de medicación le permitieron cambiar la configuración y aumentar el límite de la dosis. Como resultado, los malhechores podrían causar que a los pacientes se les inyecte dosis mayores o menores de medicina. Irónicamente, estos dispositivos se publicitaron a prueba de errores.

Otro dispositivo vulnerable que Rios encontró fue Pyxis SupplyStation, producido por la compañía CareFusion. Este dispositivo se utiliza para dispensar suministros médicos y facilitar el ahorro. En 2014, Rios encontró un bug que permitía a cualquiera acceder al sistema.

En 2016, Rios volvió a analizar la Pyxis SuplyStation, esta vez junto con su compañero experto en seguridad Mike Ahmadi. El dúo descubrió más de 1 400 vulnerabilidades, la mitad de las cuales consideradas muy peligrosas. Aunque los desarrolladores de terceras partes eran los culpables de un gran número de los bugs, y los expertos analizaron un modelo antiguo de Pyxis SupplyStation, dichas vulnerabilidades siguen siendo muy problemáticas.

La cuestión es que estas soluciones ya tenían fecha de caducidad, y a pesar de su extendido uso, los desarrolladores no facilitaron ningún parche. En su lugar, CareFusion recomendó a sus clientes que actualizaran a las nuevas versiones de su equipamiento. Las organizaciones que no quisieron actualizar recibieron una lista de consejos para minimizar el riesgo de que se comprometieran dichos sistemas.

Es difícil, y caro, actualizar equipamientos antiguos. Pero, por ejemplo, Microsoft ya había abandonado el sistema operativo instalado en los dispositivos, dejándolos vulnerables. Las últimas versiones de la Pyxis SupplyStation funcionan con Windows 7 o posterior y no son vulnerables a esos bugs.

Kaspersky Lab también proporcionó pruebas ciberestructurales para los hospitales: nuestro experto Sergey Lozhkin fue invitado a formar parte del experimento y hackear equipamiento médico, incluido un escáner tomográfico.

Por supuesto, los casos anteriores fueron experimentos para probar la facilidad con la que los delincuentes podrían hacerlo si quisieran, ¡no para causar ningún daño real!

¿A quién hay que culpar y qué deberíamos hacer?

La vida de los dispositivos médicos es mucho mayor que la de tu smartphone. Docenas de años para un equipamiento caro no es, para nada, un largo período. Además, aunque los últimos dispositivos son menos vulnerables que los desfasados, con el tiempo y sin el soporte adecuado llegarán a tener tantos fallos como sus homólogos antiguos.

CComo explica Mike Ahmadi: “creo que es razonable que el vendedor de un dispositivo médico tenga estipulado el tiempo de vida de sus dispositivos y que tenga estipulado el fin de la ciberseguridad para sus dispositivos”.

El hackeo de la Pyxis SypplyStation también tiene su parte buena. Es cierto que los desarrolladores ignoraron los primeros bugs que Rios descubrió, pero luego, la corporación Becton Dickinson compró la compañía y la nueva gerencia ve a los ciberexpertos de forma diferente. Quizá en el futuro las compañías presten más atención de la que prestan ahora para que sus dispositivos sean a prueba de errores. Y puede que incluso hagan pruebas de vulnerabilidades a los nuevos dispositivos antes de que salgan a la venta.

Consejos