Un remedio contra el riesgo: conectar con seguridad los productos sanitarios

De todos los dispositivos conectados que los hackers de sombrero negro podrían atacar, ¿por qué lo harían con los dispositivos médicos? Aunque existen multitud de motivos, la mayoría tienen que ver con el beneficio económico. Los ciberdelincuentes que atacan dispositivos médicos están dispuestos a poner en peligro a los pacientes si con ello obtienen información valiosa o acceso a la red de un hospital.

Con el auge de los hackeos de dispositivos y registros médicos en los últimos años, los pacientes tienen una razón más para desconfiar de los dispositivos médicos conectados y de los hospitales. Más allá de las preocupaciones familiares por las enfermedades infecciosas y la mala praxis, los propios dispositivos que los pacientes utilizan para ser tratados durante -o después- de su estancia pueden ser aprovechados por los ciberdelincuentes para una variedad de usos, como la extorsión, el robo de identidad, el fraude e incluso el espionaje y el asesinato. A continuación, echamos un vistazo a algunas de las principales razones por las que los hackers de sombrero negro pondrían la tecnología médica en su punto de mira.

Una de las razones más comunes para que un hacker ataque dispositivos médicos es el robo de identidad. La tecnología médica conectada puede ser una puerta de acceso a los historiales médicos de los pacientes, repletos de valiosa información personal identificable (IPI) como números de la seguridad social, direcciones, números de teléfono e información sobre seguros. Un dispositivo médico pirateado también puede servir como puerta trasera a la red de un hospital.

Los ciberdelincuentes utilizaron este último enfoque en el ataque Medjack, que es una amenaza de malware para una serie de dispositivos, incluidos escáneres de resonancia magnética y tomografía computarizada, máquinas de rayos X y analizadores de gases en sangre. Los ciberdelincuentes pueden obtener datos médicos confidenciales a partir de estas brechas, lo que les permite participar en estafas de facturación médica y fraude fiscal. Un pirata informático puede utilizar la identidad robada de un paciente para obtener atención médica gratuita, incluidos medicamentos con receta o equipos médicos, ya sea para uso personal o para revenderlos en el mercado negro. Los ciberdelincuentes pueden incluso utilizar dicha información para obtener tratamientos médicos a costa de la víctima

Aunque la usurpación de identidad orientada a la atención sanitaria es quizá menos frecuente que, por ejemplo, el robo de información de tarjetas de crédito, el sector sanitario es mucho más lento que las instituciones financieras a la hora de detectar el fraude. Mientras que un banco o un consumidor pueden darse cuenta de que una tarjeta de crédito ha sido violada en cuestión de horas, en el ámbito médico pueden pasar semanas o meses antes de que se detecte el robo de identidad. Mientras que el número de una tarjeta de crédito puede cambiarse, los historiales médicos no. Por tanto, un ciberdelincuente podría utilizar la información sensible de un paciente para cometer un fraude mucho después de que se produzca una brecha. Y, aunque la proliferación de historiales médicos electrónicos facilita a los médicos compartir los historiales médicos de los pacientes, también da a los piratas informáticos acceso a información vulnerable que históricamente había estado guardada bajo llave en archivadores.

Mientras que los datos de un solo paciente tienen valor para los hackers, la red de un hospital es un entorno rico en objetivos que puede tener cientos o miles de puntos finales conectados. Un pirata informático puede acceder a esas redes, que a menudo no están cifradas, a través de un único dispositivo médico no seguro que se comunique con esa red. Un pirata informático que logre penetrar en un único dispositivo médico para acceder a una red clínica de este tipo podría poner en marcha una operación de fraude en la facturación a gran escala. Incluso la violación de un único dispositivo, como un escáner de tomografía computarizada, puede dar a los piratas informáticos acceso a información sustancial sobre los pacientes.

El acceso a los dispositivos médicos también puede convertirse en un punto de lanzamiento para el ransomware. Hay varias formas de hacerlo. Existe, por supuesto, la posibilidad de que los pacientes reciban un mensaje de texto amenazándoles con apagar su marcapasos a menos que se transfieran suficientes bitcoins a la cuenta de un hacker. Sin embargo, lo más probable es que sea el propio hospital el que sufra el ataque, ya que podría tener más probabilidades de pagar una importante suma de dinero en efectivo. Los piratas informáticos pueden tomar literalmente como rehenes a todo el hospital y a sus pacientes, ya que podrían cortar la electricidad o manipular los dispositivos de forma remota hasta que se satisfagan las demandas (que suelen ser un pago en criptomoneda de cinco cifras).

Hace solo unos años, la posibilidad de que un investigador de seguridad influyera en los mercados financieros podía parecer remota. Sin embargo, eso es básicamente lo que le ocurrió al fabricante de dispositivos médicos St. La empresa de ventas en corto Muddy Waters recurrió a la ayuda de una firma de ciberseguridad para investigar la seguridad de los implantes cardíacos de St. La empresa de ciberseguridad determinó que presentaban importantes vulnerabilidades cibernéticas, lo que provocó que las acciones de St. Jude cayeran un 5% el 25 de agosto de 2016, día en que se anunció la información. Sin embargo, la FDA aceptó finalmente que los productos estaban en peligro y emitió un comunicado en el que lo afirmaba.

Si bien la saga de St. Jude puede ser notable, la amenaza de una manipulación similar del mercado bursátil mediante investigaciones de seguridad continúa. En febrero de este año, la Securities and Exchange Commission (SEC) advirtió de que los riesgos de ciberseguridad en general plantean "graves amenazas" a los inversores. "Hoy en día, la importancia de la gestión de datos y la tecnología para las empresas es análoga a la importancia de la electricidad y otras formas de energía en el siglo pasado. Los incidentes de ciberseguridad pueden ser el resultado de sucesos no intencionados o de ataques deliberados por parte de personas internas o de terceros, incluidos ciberdelincuentes, competidores, estados-nación y 'hacktivistas'", explica la SEC.

La mayoría de los piratas informáticos de sombrero negro tienden a centrarse en dispositivos fáciles de atacar antes que en dispositivos con defensas sólidas. Un buen número de dispositivos médicos -especialmente las tecnologías médicas heredadas- tienen defensas relativamente débiles. Algunos, por ejemplo, utilizan sistemas operativos obsoletos como Windows XP, que son los objetivos favoritos de los piratas informáticos porque son fáciles de explotar. Uno de los dispositivos médicos más comunes en los hospitales, la bomba de infusión, suele ser relativamente fácil de piratear. Los piratas informáticos pueden atacar dispositivos médicos simplemente para perfeccionar sus habilidades o esclavizarlos como medio para lanzar operaciones de minería de criptomoneda que ralentizan las redes médicas al tiempo que generan criptomoneda para los ciberdelincuentes. El Hospital General del Condado de Decatur en Parsons, Tennessee, sufrió un ataque de este tipo el año pasado.

Algunos modelos de estas bombas utilizan una contraseña de mantenimiento, que puede ser, en el peor de los casos, una contraseña por defecto que nunca se cambia o una que se actualiza raramente. Según los investigadores de seguridad Billy Rios y Terry McCorkle, un número considerable de dispositivos médicos -aproximadamente 300 de unos 40 proveedores- utilizan contraseñas codificadas. Cuando se trata de dispositivos médicos como las bombas de infusión, la estrategia para protegerlos con métodos como las actualizaciones periódicas por aire o la protección tradicional contra el malware es simplemente inviable. En teoría, una actualización vía satélite (OTA) con un error inadvertido en software podría lesionar o incluso causar la muerte a un paciente, mientras que la instalación del malware tradicional software podría interferir en el funcionamiento de la bomba.

Aunque la amenaza de atentar contra un dispositivo médico para mutilar o matar a pacientes recibe bastante atención por parte de los escritores, ya trabajen para medios periodísticos o en el mundo del cine, esta amenaza tiende a ser más teórica que real. Dicho esto, las celebridades o los políticos pueden correr un mayor riesgo de sufrir este tipo de ataques. Al parecer, el ex vicepresidente Cheney desactivó la función inalámbrica de su marcapasos por temor a que un pirata informático se entrometiera en su funcionamiento. Aunque se ha prestado mucha atención al riesgo de piratear marcapasos, la enorme variedad de dispositivos médicos abre una infinidad de posibilidades de ataque.

Pero un informe reciente del Star Tribune también señala que en la actualidad no se tiene constancia de que se haya pirateado un dispositivo médico para dañar a un paciente. Dicho esto, el riesgo de este tipo de ataques es real. Suzanne Schwartz, Directora del Centro de Dispositivos y Salud Radiológica de la FDA, ha declarado: "Los dispositivos médicos conectados o configurados en red que estén infectados por programas maliciosos pueden impedir que un dispositivo realice su función clínica. Esto, a su vez, podría suponer un problema para la seguridad del paciente". Imaginemos el riesgo que podría suponer para un paciente, por ejemplo, un dispositivo de gestión del ritmo cardiaco controlado por hackers. En 2012, el fallecido investigador de seguridad Barnaby Jack descubrió que los marcapasos de varios fabricantes podían explotarse para administrar una descarga mortal de 830 voltios a un paciente desde una distancia de hasta 15 metros.

Es más, aparentemente no es tan difícil para un investigador de seguridad o un ciberdelincuente obtener dispositivos médicos para investigar, aprendiendo potencialmente cómo programar el control de dispositivos médicos o cómo violarlos para obtener acceso a los datos de los pacientes.

Un buen número de dispositivos médicos pueden adquirirse a través de canales no oficiales. El sitio web eBay, por ejemplo, vende aparatos utilizados para programar dispositivos de gestión del ritmo cardiaco. Algunos ejemplos son Zoom Latitude, de Boston Scientific, y Merlin, de Abbott Laboratories.

Mientras el sector de los dispositivos médicos se familiariza con la creciente amenaza de la ciberseguridad, la explosión de las capacidades de IoT aumenta la superficie de ataque de la tecnología médica. El creciente número de ataques contra dispositivos médicos pone de manifiesto la necesidad de verificar la identidad de todas las partes implicadas en el ecosistema sanitario, ya sean pacientes o médicos, y, lo que es igual de importante, de cifrar la información de identificación personal.

La infraestructura de clave pública (PKI) es una defensa vital para mitigar el riesgo de los dispositivos médicos conectados, ya que crea un marco de seguridad para compartir datos médicos confidenciales entre puntos finales de confianza y un guardián al que el hacker debe enfrentarse antes de causar posibles estragos. La PKI también proporciona agilidad criptográfica, permitiendo que los dispositivos médicos escalen de forma segura a lo largo del tiempo, al tiempo que permite actualizaciones seguras de dispositivos y firmware. Al autenticar y cifrar la información, sólo el titular de ambas claves privadas puede acceder a los datos. Cada dispositivo necesita su propio certificado generado por PKI. No sólo proporciona una seguridad añadida a la empresa, sino que significa que el pirata informático necesita bastante más tiempo para causar daños generalizados. Y lo que es más, una PKI interna es extremadamente rentable y puede personalizarse por completo según las necesidades del consumidor. Eso permite una transición fácil en la industria médica en función de cada caso.

A medida que los dispositivos compatibles con IoT se convierten en la norma, la comunidad sanitaria se adentra en un mundo nuevo para pacientes y médicos. Sin previsión, esa nueva tecnología podría convertirse en una caja de Pandora. Imagínese que usted o un ser querido han caído enfermos recientemente y están en la cama de un hospital. Lo último de lo que querría preocuparse es de un hacker empeñado en irrumpir en un dispositivo médico diseñado para salvar vidas en lugar de ponerlas en peligro. El sector de los dispositivos médicos necesita que expertos en seguridad como usted den un paso al frente y contribuyan a impedir que los ciberdelincuentes accedan a los dispositivos médicos y redes hospitalarias habilitados para IoT.

Es una triste realidad que los dispositivos médicos y los hospitales corren el riesgo de sufrir ataques, pero así es. Aunque todavía no parezca que estemos en guerra, las noticias sobre dispositivos médicos y hospitales pirateados van en aumento, por lo que es vital prepararse para ataques más sofisticados. Como afirmó una vez el SEAL Brandon Webb: "Es una gran ventaja, que a veces salva vidas, adoptar pronto una buena idea y ponerla en práctica". Esa idea es tan cierta para la ciberseguridad como para la preparación para la guerra.