Dispositivos conectados al cuerpo humano: peligro real de muerte.

Los dispositivos médicos conectados requieren de una protección y regulación adecuadas. Los atacantes pueden matar a las personas o robar datos personales.

El sector de la salud se enfrenta a un desafío sin precedentes. Es especialmente vulnerable por la creciente interconexión de dispositivos médicos y el uso de conexiones remotas para su mantenimiento, así como la falta de parches y presupuesto para la ciberseguridad. Debemos actuar con rapidez y decisión. No podemos afrontar problemas del siglo XXI con mentalidad del siglo XX y legislación del siglo XIX.

La tecnología ha penetrado ampliamente en el sector de la salud. Pero hace falta concienciación sobre el impacto que un fallo de la tecnología o un fallo en la custodia de la información que se maneja puede tener en la salud del paciente. Los riesgos y peligros pueden pasar del mundo digital al mundo físico con rapidez. Los contratiempos tecnológicos pueden tener consecuencias nefastas.

Considere estos dos escenarios y sus implicaciones: El primero es un fallo de seguridad que permite alterar a distancia el funcionamiento de determinados marcapasos y desfibriladores; y el segundo, otro fallo que permite a los atacantes extraer datos sensibles de la persona. Estas dos amenazas solo son el principio de lo que está por llegar. Cuantos más dispositivos estén conectados, en este caso al cuerpo humano, más fácil será para un atacante acabar con la vida de una persona o robar datos personales.

El mercado
Las compañías de tecnología médica actualmente fabrican más de 500.000 diferentes tipos de dispositivos, como aparatos médicos portátiles, implantables y estacionarios. Se espera que el mercado de Internet de las cosas médicas solo en Europa crezca de 11 mil millones en 2017 a 40 mil millones en 2022, mientras que el mercado europeo de tecnología médica se estimó en aproximadamente 115 mil millones en 2017.

Riesgos y amenazas
Si un ciberdelincuente consigue acceso podría tener el control total sobre el dispositivo. Se conocen casos de ataque por cadena de suministro, donde los ciberdelincuentes atacaron la factoría de software para instalar en los dispositivos malware que podría actuar incluso de forma autónoma, sin conexión a la red.

Los medios técnicos necesarios para llevar a cabo la mayoría de los ataques son baratos y fáciles de adquirir y usar.

Una búsqueda en Google con el texto site:www.us-cert.gov»ICSMA» puede dar acceso a las vulnerabilidades conocidas y reportadas sobre dispositivos médicos, no sólo los implantables.

Existen muchos vectores de ataques a los dispositivos conectados al cuerpo humano. Se conocen casos de ataque por cadena de suministro para instalar malware; ataques a gran distancia del dispositivo mediante el uso de capacidades de comunicación inalámbrica; la utilización de redes botnet para realizar todo tipo de acciones maliciosas como robar información, difundir spam, malware o llevar a cabo ciberataques de denegación de servicio distribuido o DDoS; ataques Manin the Middle, que consisten en penetrar al dispositivo para acceder a la información o incluso modificarla; el uso de técnicas de ingeniería social; otro de los fallos de seguridad de estas herramientas es que vienen de fábrica con credenciales de acceso por defecto inseguras; el acceso físico al dispositivo es otra de las vías que se podría utilizar para obtener información confidencial o tomar su control; y, por último, cabe destacar que las vulnerabilidades de seguridad cibernética del dispositivo también pueden ocasionar daños al paciente y/o al usuario, como enfermedad, lesión o muerte.

Seguridad
Para mejorar la seguridad de nuestros dispositivos hay que seguir una serie de parámetros: los proveedores deben indicar con claridad cómo funciona su seguridad, contra qué amenazas protegen y contra qué otras no; hacer que el software sea parcheable; probar la seguridad de todo el software antes de su lanzamiento; si un dispositivo pierde la conexión a Internet, debería fallar de una manera que no cause ningún daño; los accesos también tendrán que utilizar técnicas criptográficas que cifren la información; aplicar las últimas actualizaciones y parches de seguridad para corregir las últimas vulnerabilidades descubiertas; nunca se instalarán actualizaciones de seguridad que provengan de otro sitio que no sea el oficial o de ficheros adjuntos en correos electrónicos; y registrar constantemente todos los accesos, autorizados o no, junto con el estado del paciente. Internet+ ya está en nuestras vidas. Las herramientas que tenemos no nos permiten estar preparados ante el rápido avance de estas tecnologías. Por ello, hay que construir sistemas de seguridad tan robustos como las propias amenazas.