Cuanto más conectadas estén nuestras vidas a la tecnología, más vulnerables son a problemas como errores de software y hackers. Esto incluye la tecnología que ponemos dentro de nuestro cuerpo. Recientemente se ha mostrado claramente que las bombas de insulina y los marcapasos tienen las mismas vulnerabilidades que las inoportunas teteras conectadas a la red.
Una nueva investigación demuestra lo vulnerable que pueden ser los aparatos médicos. En un estudio reciente, investigadores de la empresa de seguridad WhiteScope analizaron marcapasos y desfibriladores de cuatro fabricantes diferentes así como los sistemas que se utilizan para monitorizarlos y mantenerlos. Encontraron 8.000 vulnerabilidades diferentes dentro del código del aparato cardíaco. Por si no queda claro, este es un número muy grande.
Los investigadores encontraron problemas graves en los ecosistemas de todos los aparatos, como sistemas de software que no estaban actualizados o el almacenamiento de datos privados del paciente que no estaba codificados. En ocasiones cuando los dispositivos estaban conectados a sistemas de monitorización, ninguno obligó a los investigadores a utilizar un nombre de usuario y una contraseña. Los sistemas tampoco confirmaron que los dispositivos a los que se estaban conectando eran auténticos.
El estudio indica que los marcapasos se enfrentan a “graves retos de seguridad”. Esta declaración puede que sea demasiada educada.
Los resultados son especialmente preocupantes después del ataque del ransomware WannaCry, que impactó a varios hospitales por todo el mundo. Durante este ataque un dispositivo médico fue afectado por ransomware por primera vez (es la primera instancia conocida). En este caso, se trataba de aparatos médicos fabricados por Bayer.
No obstante, el impacto del hackeo de dispositivos médicos puede llegar a ser mucho peor: puede poner en peligro la vida de un paciente o revelar datos médicos privados. Esto es algo que los expertos de ciberseguridad han advertido durante años. En 2013, el hacker Barnaby Jack declaró que podía tomar control de un marcapasos desde una distancia de poco más de 15 metros y utilizar el aparato para causar un shock letal. El antiguo vicepresidente de Estados Unidos, Dick Cheney, le ordenó a un médico que eliminara la capacidad inalámbrica de su marcapasos para protegerle de los hackers a pesar de que significaba que las actualizaciones de software requerirían cirugía.
Pero aunque los dispositivos médicos suelen ser viejos y desactualizados, y por lo tanto más vulnerables a un ataque, hasta ahora no ha habido casos de hackers haciendo daño a pacientes aprovechando estos fallos. Sin embargo, la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA, por sus siglas en inglés) y otras agencias se está preocupando de lo que podría pasar con estos aparatos en el futuro. En enero, la FDA publicó una advertencia donde explicó que ciertos implantes cardíacos podrían ser hackeados y reprogramados para mandar señales y producir un shock que cause la muerte.
El otoño pasado, Johnson & Johnson fue obligado a decirle a sus clientes que sus bombas de insulina tenían un fallo de seguridad que los hackers podrían usar para administrar una sobredosis de insulina potencialmente mortal.
Cuantos más dispositivos tengan la capacidad de comunicarse de forma inalámbrica, más crecerá la amenaza del hackeo. Después de la publicación de investigaciones como la de WhiteScope, está claro que para los fabricantes de dispositivos médicos, implementar medidas de seguridad básicas, como un nombre de usuario y una contraseña, parece que no les preocupa mucho.
Otro estudio reciente analizó el mercado de los dispositivos médicos de forma más amplia y encontró que solamente 17 por ciento de los fabricantes habían tomado medidas para asegurar sus aparatos.
Los fabricantes están empezando a poner más atención a estos problemas. Están contratando a expertos en ciberseguridad y creando programas para que los “hackers buenos” reporten los fallos que encuentren. Pero cuando un hackeo puede significar la vida o la muerte, no pueden arreglar estos sistemas lo suficientemente rápido.