Gracias a los avances tecnológicos, se ha mejorado la calidad de vida de personas con enfermedades como la diabetes, quienes han sustituido las jeringas y agujas por dispositivos informáticos como las bombas de insulina que regulan automáticamente el nivel de azúcar en la sangre.
Las malas noticias son que dichos dispositivos también son vulnerables frente a posibles ataques. Pero, afortunadamente, todavía no he oído ningún caso en la vida real. Los cibercriminales no actúan por diversión sino con ánimo de lucro. Así, hasta que no encuentren la forma de obtener beneficios económicos explotando los bugs de estos dispositivos médicos, no creo que dichos ataques tengan mucho sentido.
Se necesitan tales capacidades técnicas, un ambiente de prueba tan específico así como un conocimiento del sistema tan profundo que es prácticamente imposible realizar un ataque de estas características. Y en el caso de que fuera posible… ¿Cuál sería el fin? ¿El asesinato? Si pensáis que alguien quiere acabar con vuestra vida, creedme, el ataque a un dispositivo médico es la última de vuestras preocupaciones.
No obstante, este blog está dedicado a la seguridad informática y, por este motivo, no podemos dejar de tratar el tema. Lamentablemente, Barnaby Jack, investigador de dispositivos médicos, falleció el mes pasado antes de que pudiera exponer sus conocimientos en la conferencia de seguridad TI, Black Hat. Sin embargo, Jack trabajó como investigador de seguridad en la empresa IOActive y publicó un gran número de información al respecto a finales del 2012.
En la conferencia Breakpoint, celebrada el año pasado en Australia, Jack demostró que era posible enviar una señal a un marcapasos desde un ordenador para que éste produjese un shock en la víctima. ¿Cómo realizó este ataque? A través de un error de programación, el investigador enviaría un comando especial al dispositivo, el cual respondería con su modelo y número de serie. Una vez se supiese el modelo del marcapasos, enviaría la orden de un shock de 830 voltios que mataría al paciente. Además, Jack demostró que también es posible programar a los marcapasos para que envíen códigos maliciosos a otros dispositivos similares del mismo proveedor.
Además, en otra ocasión, Jack enseñó cómo se podía comprometer, de forma remota, una bomba de insulina para que administrara una dosis mortal. Se realizaría modificando la antena del dispositivo y el software de control siempre y cuando se supiese el número de serie de la bomba. No obstante, Jack afirmaba que su investigación subiría un nivel más al demostrar cómo se podría atacar a estos aparatos médicos sin saber, tan siquiera, el modelo de fabricación.
Por supuesto, estos ejemplos tan solo son la punta del iceberg. A parte del marcapasos y la bomba de insulina, existe un sinfín de dispositivos médicos vulnerables frente a posibles ataques. Uno de los mayores problemas en seguridad es que dichos aparatos son radicalmente diferentes a los ordenadores comunes. Estos conectan el cuerpo del paciente con elementos externos para regular y funcionar correctamente. Así, si los dispositivos se pueden comunicar con el exterior de forma inalámbrica, este hecho supone un riesgo en seguridad como pudo demostrar Jack.
El siguiente paso sería asegurar dichas comunicaciones a través de canales cifrados o utilizando algún tipo de sistema de verificación para restringir el acceso al dispositivo. Sin duda alguna, todo un reto debido a las limitaciones que dichos aparatos suponen en sí mismos.
Lamentablemente, en este caso, no hay mucho que podamos hacer para protegernos. Nadie está desarrollando productos específicos y tampoco existen ajustes de seguridad que podamos configurar. En el caso de los enfermos que padecen diabetes, la solución es volver al sistema antiguo para controlar el azúcar en sangre. Pero, por ejemplo, los pacientes que llevan un marcapasos u otro dispositivo médico similar, no lo tienen tan fácil.
Esperemos que los descubrimientos de Barnaby Jack y otros investigadores consigan que los fabricantes y creadores de estos aparatos empiecen a ser conscientes de los posibles riesgos de seguridad y corrijan los bugs de sus productos.
Los dispositivos médicos salvan millones de vidas al año y, afortunadamente, por ahora, el número de víctimas de un ataque de estas características asciende a 0.