Revista de Prensa

¿Está su vida en manos de los ‘hackers’?

Todo aparato conectado a una red, ya sea un PC, un frigorífico, un coche, un avión, un glocómetro o un marcapasos, es susceptible de ser ‘hackeado’.

 

Regulación

Tanto los investigadores reunidos en la DefCon como los fabricantes de los dispositivos coinciden en la importancia de trabajar para subsanar las brechas de seguridad.

Compañías como Johnson & Johnson o Philips han comenzado a enviar a sus empleados a conferencias de ciberseguridad para aprender de los hackers, al tiempo que lanzan programas para que los investigadores puedan notificar las vulnerabilidades que encuentren en sus dispositivos conectados.

La Administración de Alimentos y Medicamentos de EEUU (FDA), que regula los aparatos médicos, dio una conferencia en la DefCon por primera vez este año.

El organismo emitió unas pautas para que los fabricantes de estos dispositivos tomasen en serio su seguridad y los animó a trabajar con los hackers éticos (aquéllos que exponen los fallos de un sistema para arreglarlos en vez de explotarlos), de los que la industria desconfiaba en el pasado.

Los investigadores han estado advirtiendo de la débil protección de la que disponen los dispositivos médicos, un hecho que se hizo evidente tras el ataque en 2011 del hacker Barnaby Jack, demostrando que podía piratear su propia bomba de insulina para administrar una dosis letal.

Muchos aparatos están conectados a Internet o a la red interna de los hospitales sin estar protegidos con alguna contraseña o sistema de encriptación. Los cibercriminales pueden apuntar a un objetivo en particular, dirigirse a alguien en particular para inutilizar su dispositivo y eliminar un tratamiento esencial, lanzar un ataque masivo seleccionando un dispositivo en concreto o robar información.

La cooperación entre los hackers éticos y la industria se ha producido justo a tiempo, ya que el riesgo de exposición a un ataque ha sobrepasado el plano teórico.

WannaCry

El ransomware WannaCry comenzó infectando dispositivos médicos e inutilizando equipamiento radiológico creado por Bayer. La compañía alemana afirma que recibió dos informes de clientes de EEUU con dispositivos infectados desde de la expansión del malware desde la red hasta dichos dispositivos con sistema Windows.

La compañía se puso en contacto con los clientes para informales acerca de una actualización de la base de datos de seguridad que había sido instalada en casi todos los dispositivos de EEUU.

En la DefCon, Colin Morgan, consejero de productos de seguridad, investigación y desarrollo en Johnson & Johnson, hizo un llamamiento para que la ciberseguridad se convierta en un componente esencial en el proceso de desarrollo de productos.

“La salud es un sector en constante evolución. Cada vez vemos como incluye más y más tecnología, lo que significa que hay un mayor riesgo desde el punto de vista de la seguridad, por lo que es importante que se convierta en una parte integral en nuestro enfoque de los productos de seguridad”, explicó Morgan.

Michael McNeil, directivo en productos de seguridad y servicios de Philips, confirmó que había intentado mantener una actitud “más proactiva con la comunidad de investigadores”. El directivo cree que es inevitable que los productos tengan alguna vulnerabilidad, por lo que es algo positivo el hecho de que más personas se centren en subsanar este problema.

Antecedentes

La industria de los aparatos médicos también tiene algo que enseñar a los investigadores de seguridad. Los hackers éticos pueden obsesionarse en exceso con buscar puntos vulnerables en vez de desarrollar una visión más amplia sobre cómo se vería afectada la seguridad del paciente.

En el último año, hubo tres hechos que afectaron a esta industria. La FDA mandó un aviso a los hospitales para que dejasen de utilizar la bomba de infusión Hospira Symbiq, debido a que su vulnerabilidad podía permitir que un hacker cambiase la dosis administrada. Johnson & Johnson advirtió a más de 100.000 pacientes con diabetes que había un fallo en sus bombas de insulina, tras el descubrimiento realizado por la compañía de ciberseguridad Rapid 7.

Además, los investigadores de MedSec, otra compañía de ciberseguridad, anunciaron el descubrimiento de un fallo en unos marcapasos y se unieron con el fondo Muddy Waters para publicitar esta vulnerabilidad y apostar contra las acciones de St Jude’s Medical, el fabricante de los marcapasos.

Ahora, tanto la industria de la ciberseguridad como los fabricantes de aparatos médicos están reflexionando acerca de la necesidad de un ‘juramento hipocrático’ para los dispositivos médicos, similar al juramento que hacen los médicos, por el que prometen actuar para beneficio de los pacientes.

La primera pauta para diseñar los nuevos productos fue publicada por la FDA en 2014 y, a finales del año pasado, la misma agencia emitió otra serie de pautas para los productos que ya estaban disponibles en el mercado. Los principios se basan en que los dispositivos deben ser diseñados para ser seguros, siendo capaces de actualizarse si se encuentra algún fallo, además de garantizar la asistencia al paciente incluso cuando estén infectados.

Transparencia

Suzanne Schwartz, supervisora de la FDA sobre los fabricantes de aparatos médicos, participó en la DefCon por primera vez este año. Schwartz advirtió de las negativas consecuencias si se produce otra divulgación sobre la vulnerabilidad de un producto, como ocurrió en el caso de los marcapasos de St Jude el año pasado, lo que puede provocar el pánico entre la población. Éste es un riesgo que puede llevar a que alguien tome la decisión de no colocarse este implante “por algo que han escuchado en los medios de comunicación sobre que los riesgos no compensan los beneficios”.

Voces de ambos bandos expresaron su rechazo ante la idea de anunciar un fallo de vulnerabilidad como parte de una campaña de ventas en descubierto para conseguir ganancias financieras. Pero esto también podría aumentar la presión sobre los fabricantes de dispositivos ante el temor de una humillación pública.

Chris Frenz, consejero de infraestructuras del centro médico Interfaith en Nueva York, cree que los fabricantes de aparatos médicos deberían incluir la posibilidad de actualizar sus aparatos, informando a los hospitales de cuánto tiempo piensan mantener el soporte a los dispositivos. Frenz también propone que los fabricantes incluyan una lista del software de todos los componentes de sus dispositivos, de manera que los hospitales puedan comprobarlos si contienen alguna vulnerabilidad conocida.

Philips ya toma estas medidas y Johnson & Johnson está trabajando en este campo, publicando advertencias sobre algunos de sus productos.

“WannaCry demuestra lo inseguros que son estos dispositivos. Ni siquiera estaba dirigido a los aparatos médicos y, sin embargo, consiguió infectarlos”, sostiene Frenz.