Casi todo ciberataque tiene un objetivo: robarle el dinero a alguien. Aun así, ya que una gran variedad de equipamientos están siendo conectados, un dispositivo con errores puede acarrear consecuencias más graves que la pérdida de dinero. ¿Qué hay de la vida y la salud humanas?
Hablemos de los coches conectados, un ejemplo perfecto de cómo un dispositivo puede suponer un riesgo de vida o muerte. Alguien con malas intenciones podría tomar el control de un coche automático y causar un accidente. El equipamiento médico inteligente también corre peligro. Los dispositivos diseñados para mantenernos sanos también pueden usarse para lo contrario.
Hasta la fecha, no conocemos ningún caso documentado de equipamiento médico comprometido que haya herido directamente la salud humana. Aun así, los expertos a menudo encuentran más y más vulnerabilidades nuevas en los dispositivos médicos, incluyendo los bugs que podrían usarse para causar daños físicos graves.
Robar dinero y hacer daño a las personas son acciones diferentes, cabría esperar que los hackers optaran por no dar este paso por razones éticas. Pero, lo más probable es que los delincuentes no hayan querido hackear dispositivos médicos simplemente porque (aún) no saben cómo sacar provecho de dichos ataques.
De hecho, los ciberdelincuentes han atacado repetidamente hospitales con troyanos y otros malware. Por ejemplo, a principios de este año hubo varias infecciones de malware en diferentes centros médicos de EE.UU., entre los que se incluye el Hollywood Presbyterian Medical Center de Los Angeles.
#Hospital aprende por las malas que no hay que pagar por el rescate de archivos https://t.co/J2sQJlbvod #ransomware pic.twitter.com/bYKBC3dOYk
— Kaspersky España (@KasperskyES) June 3, 2016
El hospital de Los Angeles pagó 17.000 dólares para recuperar sus archivos. Aun así, cuando el Hospital Kansas Heart trató de hacer lo mismo, los delincuentes no les devolvieron los archivos y, en lugar de ello, pidieron más dinero. Como puedes ver, no podemos confiar en los imperativos éticos para detener a los delincuentes: a algunos siempre les complacerá atacar establecimientos médicos con tal de ganar dinero fácil.
El equipamiento médico está sometido a inspecciones y certificados, pero solo como dispositivo médico y no como tecnología informática conectada. Por supuesto, se recomienda cumplir con los requerimientos de ciberseguridad, pero recae sobre el criterio del vendedor. Como resultado, muchos dispositivos en hospitales presentan errores típicos que los especialistas informáticos conocen desde hace tiempo.
La agencia federal estadounidense de Drogas y Medicamentos regula la venta de los equipamientos médicos y su certificación. Para tratar de adaptarse al medio conectado que está en constante evolución, publicó una guía para los fabricantes y el personal sanitario para proteger mejor los dispositivos médicos. A principios de 2016, se publicó el borrador de un documento hermano, pero todas las medidas ofrecidas son recomendaciones. Por lo que todavía no es obligatorio proteger los dispositivos médicos que son críticos para salvar vidas humanas.
Negligencia mortal
Los fabricantes de los equipamientos pueden pedir ayuda a los expertos en ciberseguridad, pero en realidad, a menudo hacen lo contrario y rechazan prestar sus dispositivos para que sean verificados. Los expertos tienen que comprar por su cuenta equipamiento de segunda mano para comprobar la protección de estos. Por ejemplo, Billy Rios, que conoce muy bien los dispositivos conectados, tanto interna como externamente, a veces también examina dispositivos médicos.
Cómo hackear un #hospital https://t.co/yRmcJ7pFmf via @TecnoExplora #hacking #salud #IoT pic.twitter.com/QaA2zYWmHK
— Kaspersky España (@KasperskyES) March 29, 2016
Hace unos dos años, Rios probó las bombas de infusión de Hospira que se distribuyen a miles de hospitales del mundo. Los resultados fueron alarmantes: las bombas de inyección de medicación le permitieron cambiar la configuración y aumentar el límite de la dosis. Como resultado, los malhechores podrían causar que a los pacientes se les inyecte dosis mayores o menores de medicina. Irónicamente, estos dispositivos fueron anunciados como a prueba de errores.
Otro dispositivo vulnerable que Rios encontró fue Pyxis SupplyStation, producido por la compañía CareFusion. Este dispositivo se utiliza para dispensar suministros médicos y facilitar la gestión de las cuentas. En 2014, Rios encontró un bug que permitía a cualquiera acceder al sistema.
En 2016, Rios volvió a analizar la Pyxis SuplyStation, esta vez junto a su compañero experto en seguridad Mike Ahmadi. El dúo descubrió más de 1.400 vulnerabilidades, la mitad de las cuales consideradas muy peligrosas. Aunque los desarrolladores de terceras partes eran los culpables de un gran número de los bugs, y los expertos analizaron un modelo antiguo de Pyxis SupplyStation, dichas vulnerabilidades siguen siendo muy problemáticas.
Ponerse enfermo tiene doble peligro: el equipamiento médico es vulnerable a los hackers
Tweet
La cuestión es que estas soluciones ya tenían fecha de caducidad, y a pesar de su extendido uso, los desarrolladores no facilitaron ningún parche. En su lugar, CareFusion recomendó a sus clientes que actualizaran a las nuevas versiones de su equipamiento. Las organizaciones que no quisieron actualizar recibieron una lista de consejos para minimizar el riesgo de que se comprometieran dichos sistemas.
Actualizar equipamientos antiguos es difícil, y caro. Pero, por ejemplo, Microsoft ya había abandonado el sistema operativo instalado en los dispositivos, dejándolos vulnerables. Las últimas versiones de la Pyxis SupplyStation funcionan con Windows 7 o posterior y no son vulnerables a esos bugs.
Kaspersky Lab también proporcionó pruebas ciberestructurales para los hospitales: nuestro experto Sergey Lozhkin fue invitado a formar parte del experimento y hackear equipamiento médico, incluido un escáner tomográfico.
How I hacked my #hospital – https://t.co/qhKfT636F5 from @61ack1ynx #healthcare pic.twitter.com/SPES9tPnsw
— Kaspersky (@kaspersky) February 10, 2016
Por supuesto, los casos anteriores fueron experimentos para probar la facilidad con la que los delincuentes podrían hacerlo si quisieran, ¡no para causar ningún daño real!
¿A quién hay que culpar y qué deberíamos hacer?
La vida de los dispositivos médicos es mucho mayor que la de tu smartphone. Varias décadas de uso de un equipamiento caro no es, para nada, un largo período. Además, aunque los últimos dispositivos son menos vulnerables que los desfasados, con el tiempo y sin el soporte adecuado llegarán a tener tantos fallos como sus homólogos antiguos.
Como explica Mike Ahmadi: “creo que es razonable que el vendedor de un dispositivo médico tenga estipulado el tiempo de vida de sus dispositivos y que tenga estipulado el fin de la ciberseguridad para sus dispositivos”.
El hackeo de la Pyxis SypplyStation también tiene su parte buena. Es cierto que los desarrolladores ignoraron los primeros bugs que Rios descubrió, pero luego, la corporación Becton Dickinson compró la compañía y la nueva gerencia ve a los ciberexpertos de forma diferente. Quizá en el futuro las compañías presten más atención de la que prestan ahora para que sus dispositivos estén a prueba de errores. Y puede que incluso hagan pruebas de vulnerabilidad a los nuevos dispositivos antes de que salgan a la venta.