{"id":1126,"date":"2013-08-14T16:23:39","date_gmt":"2013-08-14T16:23:39","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=1126"},"modified":"2020-02-26T09:09:36","modified_gmt":"2020-02-26T15:09:36","slug":"hackeando-humanos","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/hackeando-humanos\/1126\/","title":{"rendered":"Hackeando Humanos"},"content":{"rendered":"

Vemos como cada vez m\u00e1s a\u00f1adimos\u00a0dispositivos inform\u00e1ticos, como\u00a0bombas de insulina y los marcapasos, a nuestra vida cotidiana. \u00c9stos contienen\u00a0errores y, por lo tanto, son vulnerables a la explotaci\u00f3n. As\u00ed es, esa peque\u00f1a cosa de metal en el interior del pecho del abuelo que dispara impulsos el\u00e9ctricos para mantener latiendo el coraz\u00f3n del anciano \u00a0es vulnerable a un hackeo remoto e implica nada m\u00e1s que un ordenador port\u00e1til. Tambi\u00e9n lo son las bombas de insulina que han sustituido a las jeringas y las inyecciones diarias para muchos diab\u00e9ticos que buscan regular los niveles de az\u00facar en la sangre.<\/span><\/p>\n

\"humans_title\"<\/a><\/p>\n

La mala noticia es que muchos de los millones de dispositivos m\u00e9dicos integrados en muchos millones de personas son vulnerables a los ataques. La buena noticia es que no s\u00e9 de ning\u00fan caso en que alguien realmente haya atacado a uno de estos dispositivos en la vida real. La dura verdad es que los cibercriminales, a diferencia de muchos de estos investigadores sumamente inteligentes, no piratean por diversi\u00f3n, sino con fines de lucro. As\u00ed que hasta que encontremos una manera de hacer dinero envenenando a una persona con insulina o administrando una descarga pesada para marcapasos, yo no veo mucho incentivo para este tipo de ataques.<\/p>\n

Admito que es bastante fantasioso imaginar alg\u00fan hacker-asesino que caza dispositivos m\u00e9dicos integrados, pero tambi\u00e9n ser\u00eda incre\u00edblemente tonto. La barrera de entrada para llevar a cabo uno de estos ataques, la capacidad t\u00e9cnica, los entornos de prueba, y el conocimiento de los sistemas vulnerables es tan alto, que casi nadie podr\u00eda aprovechar un marcapasos o una bomba de insulina. E incluso si pudieran, \u00bfpor qu\u00e9 lo har\u00edan? \u00bfPara cometer asesinato? Si piensas que alguien est\u00e1 tratando de matarte, entonces te aseguro que los ataques de dispositivos m\u00e9dicos integrados deben ser la menor de tus preocupaciones.<\/p>\n

\"12\"<\/a><\/p>\n

Sin embargo, si existe un problema de seguridad, que debe ser tratado. Lamentablemente, Barnaby Jack, una de las personas a la vanguardia de la investigaci\u00f3n en dispositivos m\u00e9dicos implantables, muri\u00f3 el mes pasado, justo una semana antes de presentar un informe sobre el tema en la conferencia de seguridad Black Hat en Las Vegas<\/a>. Jack, quien se desempe\u00f1aba como investigador de seguridad para la firma de seguridad IOActive, dio a conocer bastante investigaci\u00f3n sobre el tema a finales de 2012. Sus hallazgos fueron algo tristes.<\/p>\n

\"barnabyjack\"<\/a><\/p>\n

En la conferencia de Breakpoint en Australia el a\u00f1o pasado, Jack demostr\u00f3 que podr\u00eda enviar una se\u00f1al de su computadora port\u00e1til de\u00a0forma inal\u00e1mbrica\u00a0a un marcapasos y asesorar al dispositivo para administrar una descarga fatal al interior del cuerpo del paciente. El ataque surgi\u00f3 de un error de programaci\u00f3n por lo que el investigador podr\u00eda enviar un comando especial para el marcapasos y \u00e9ste responder\u00eda con su modelo y n\u00famero de serie. Una vez que se determina con qu\u00e9 tipo de dispositivo se estaba trabajando, pudo descargar 830 voltios \u2013 potencialmente mortales \u2013 al cuerpo que cargaba el marcapasos. Por otra parte, Jack demostr\u00f3 que es posible descargar un programa para propagar c\u00f3digos maliciosos a otros marcapasos similares del mismo fabricante. Afortunadamente este escenario suena algo hollywoodense y los criminales de la vida real prefieren utilizar bombas y armas de fuego.<\/p>\n

Jack demostr\u00f3 que podr\u00eda enviar una se\u00f1al de su computadora port\u00e1til de forma inal\u00e1mbrica a un marcapasos y asesorar al dispositivo para administrar una descarga fatal al interior del cuerpo del paciente.<\/div>\n

Este no fue el primer rodeo de Jack tampoco. El investigador dio varias conferencias sobre la industria de seguridad, por ejemplo, un a\u00f1o antes de su muerte en la conferencia Hacker Halted en Miami, Florida, cuando demostr\u00f3 c\u00f3mo un ataque puede comprometer con \u00e9xito una bomba de insulina y obligar a entregar una dosis letal de insulina desde lugares tan lejanos como 300 pies.<\/p>\n

Jack logr\u00f3 modificar las antenas de estas bombas inal\u00e1mbricas y jugar con el software. En una anterior presentaci\u00f3n en Black Hat 2011, Jerome Radcliffe\u00a0demostr\u00f3 que la manipulaci\u00f3n de la bomba era posible si un atacante pod\u00eda rastrear el \u00fanico n\u00famero de la bomba implantable en cuesti\u00f3n. La investigaci\u00f3n de Jack se elev\u00f3 al siguiente nivel. Revel\u00f3 que se podr\u00eda poner en peligro todos los dispositivos vulnerables sin conocer su identificaci\u00f3n num\u00e9rica.<\/p>\n

Jack era un investigador entre muchos y los marcapasos y bombas de insulina son s\u00f3lo la punta del iceberg. M\u00e1s all\u00e1 de que hay un n\u00famero inconcebiblemente masivo de dispositivos m\u00e9dicos potencialmente vulnerables, tanto implantables como externos. Pero como si no fuera suficiente, este tema gan\u00f3 terreno en las investigaciones y se va a poner mucha atenci\u00f3n en los a\u00f1os y meses que siguen. Cada vez que haya una investigaci\u00f3n interesante, nosotros vamos a informales.<\/p>\n

Uno de los problemas con los dispositivos m\u00e9dicos fijos es que son radicalmente diferentes de las computadoras est\u00e1ndar. Una bomba de insulina administra la insulina y se comunica con los m\u00e9dicos para determinar los niveles de insulina que debe entregar. Lo mismo para los marcapasos: entregan un impulso el\u00e9ctrico al coraz\u00f3n para mantenerlo latiendo normalmente, comunic\u00e1ndose con algo fuera del cuerpo para determinar qu\u00e9 tan fuerte tiene que ser el impulso.<\/p>\n

\"pump\"<\/a><\/p>\n

Si estos dispositivos pueden comunicarse con fuentes de fuera del cuerpo, de forma inal\u00e1mbrica, esto presenta algunos evidentes problemas de seguridad como Jack y otros investigadores demostraron. El siguiente paso, seg\u00fan parece, ser\u00eda asegurarse de que estas cosas se comunican a trav\u00e9s de canales cifrados y tal vez establecer alguna forma de autenticaci\u00f3n, lo que limita el acceso a los dispositivos. Podr\u00eda ser muy dif\u00edcil debido a las numerosas restricciones impuestas por la naturaleza de estos dispositivos. Una opci\u00f3n es la configuraci\u00f3n de contrase\u00f1as, pero esto tambi\u00e9n puede evitar que los m\u00e9dicos en otro pa\u00eds salven tu vida durante tus vacaciones. El cifrado, adem\u00e1s, puede agotar r\u00e1pidamente la bater\u00eda de un peque\u00f1o dispositivo implantado. Estos retos son nuevos y las respuestas a\u00fan son dif\u00edciles de encontrar.<\/p>\n

Si hay una cosa segura es que los m\u00e9dicos y los investigadores de seguridad son algunas de las personas m\u00e1s inteligentes del mundo. No s\u00f3lo eso, pero los m\u00e9dicos se enorgullecen al salvar vidas. Los investigadores de seguridad son un poco demasiado entusiastas cuando se trata de la protecci\u00f3n de datos y sistemas.<\/p>\n

No hay mucho que se pueda hacer personalmente para protegerse en estos temas. Nadie est\u00e1 desarrollando productos de seguridad para protegernos de estas cosas<\/a> y tengo serias dudas de que el usuario mismo pueda controlar la configuraci\u00f3n de seguridad de estos dispositivos. Supongo que si sufres de diabetes, siempre puedes volver al viejo monitoreo de az\u00facar en sangre e inyectarse manualmente \u00a0insulina. Tal vez tengas suerte y no tengas que usar un marcapasos, bombas de insulina, o cualquier otro dispositivo m\u00e9dico implantable, pero si ya usas uno lo mejor que puedes hacer es mirar a los fabricantes y los m\u00e9dicos y prestar atenci\u00f3n a este tipo de investigaciones.<\/p>\n

Puede parecer imprudente publicar informaci\u00f3n tan sensible de esta manera, pero en realidad, Jack y otros trabajos similares son los \u00fanicos que pueden empujar a los fabricantes de dispositivos m\u00e9dicos para empezar a mantener los equipos m\u00e1s seguros. Ellos son los m\u00e9dicos e ingenieros, despu\u00e9s de todo. Deben aprender de sus errores. Cuando un investigador les muestra un error en sus productos, el fallo probablemente no vuelva a aparecer.<\/p>\n

La conclusi\u00f3n es la siguiente: los dispositivos m\u00e9dicos integrados salvan millones de vidas cada a\u00f1o y el n\u00famero de personas que han muerto como consecuencia de un hackeo de dispositivos m\u00e9dicos es de cero personas.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Vemos como cada vez m\u00e1s a\u00f1adimos\u00a0dispositivos inform\u00e1ticos, como\u00a0bombas de insulina y los marcapasos, a nuestra vida cotidiana. \u00c9stos contienen\u00a0errores y, por lo tanto, son vulnerables a la explotaci\u00f3n. As\u00ed es,<\/p>\n","protected":false},"author":42,"featured_media":1131,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2737],"tags":[271,496,105,38],"class_list":{"0":"post-1126","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"tag-hackeo","9":"tag-humanos","10":"tag-kaspersky","11":"tag-seguridad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hackeando-humanos\/1126\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/hackeo\/","name":"hackeo"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/1126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=1126"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/1126\/revisions"}],"predecessor-version":[{"id":17278,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/1126\/revisions\/17278"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/1131"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=1126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=1126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=1126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}