A Fondo
Las vulnerabilidades de los dispositivos médicos: únicas y peligrosas
Uno de los sectores más afectados por los ciberataques en los últimos tiempos, debido a las vulnerabilidades en los sistemas, es el de la sanidad. Como muestra, el ciberataque que sufrió hace unos meses el Hospital Clinic de Barcelona. Como en tantas ocasiones, los atacantes buscaban datos personales que puedan utilizar en beneficio propio: nombres completos, números de DNI, correos, teléfono, y otros datos personales. Pero en casos como este también intentan hacerse con información más delicada, y muy útil para malhechores: información relacionada con diagnósticos y enfermedades.
Además de utilizarlos para dar forma más creíble a sus ataques, y en países como Estados Unidos, para intentar cometer fraudes mediante reclamaciones falsas a seguros. Por eso, en el mercado negro, los datos sanitarios pueden alcanzar un precio bastante elevado, que puede llegar a los 1.000 dólares por cada dato.
Pero los ataques a las empresas del sector de la salud y los centros sanitarios públicos y privados no solo se centra directamente en sus grandes sistemas y centros de datos, donde almacenan todos los registros y datos de sus pacientes, proveedores y profesionales. También se centran en otros dispositivos y herramientas que les puedan dar acceso a sistemas más potentes, en el momento que los atacantes decidan. Por ejemplo, dispositivos sanitarios de Internet de las Cosas. Algo tan habitual como un marcapasos con conexión, o un indicador de glucosa conectado para diabéticos.
Ataques en aumento a unos dispositivos cada vez más vulnerables
Los ataques a este tipo de aparatos han registrado una notable subida en los últimos años. Y no es que quienes los utilizan o los recomiendan cuiden en exceso su seguridad para evitarlos. Según la compañía de seguridad de datos sanitarios CloudWave, los dispositivos médicos de IoT tienen, de media, 6,2 vulnerabilidades cada uno. Si tenemos en cuenta que en una habitación de hospital hay por lo general más de una veintena de ellos, nos podemos hacer una idea de la elevada probabilidad de que no uno, sino ya varios, pueda ser blanco de un ataque de hackers.
Es más, alrededor de un 40% de los que están en uso están ya hacia el final de su vida útil, por lo que no reciben ya actualizaciones de seguridad, y son todavía más propensos a tener vulnerabilidades. Hasta un 53% pueden tener vulnerabilidades críticas.
Este porcentaje puede aumentar, debido a la evolución de lo que se considera un dispositivo médico. En la actualidad también hay que considerar como tal a los sistemas de software que se conectan a bases de datos de gran envergadura. Esto ha llevado a una nueva denominación: software como dispositivo médico (SaMD). Estos dispositivos son, además y por lo general, parte de una red mucho mayor y pueden servir como puntos de entrada a ella, por la facilidad que ofrecen para ser explotados. Por eso, las autoridades de muchos países están tomando medidas para que su seguridad sea de un nivel elevado.
Como consecuencia de sus funciones únicas, que requieren la presencia de una interfaz entre el cuerpo humano y los sistemas de computación, los dispositivos médicos son un objetivo atractivo. Y por su uso, dado que muchos conectan directamente el cuerpo humano con sistemas de información, se puede decir que han dejado atrás el Internet de las Cosas para crear otra nueva categoría: el Internet de los Cuerpos.
A estos dispositivos, en muchas ocasiones, les faltan los protocolos de seguridad que hay integrados en otros sistemas médicos. Son un punto vulnerable de entrada a otros sistemas, porque se conectan directamente a sistemas internos de hospitales y centros de salud, e incluso a teléfonos móviles y, directamente, a Internet. Su falta de seguridad pueden provocar situaciones extremadamente complicadas, y se ha comprobado ya que acceder a ellos es bastante sencillo. También lo es utilizarlos de puente de entrada a sistemas más complejos.
Hay todo tipo de dispositivos médicos que se implantan en el cuerpo humano susceptibles a este tipo de ataques: desde implantes cocleares y bombas de insulina hasta desfibriladores intracardiacos, pasando por marcapasos y estimuladores de nervios. Estos dispositivos pueden ser de círculo cerrado, en los que todas las funciones están automatizadas, o de ciclo abierto, en los que los humanos pueden ejercer cierto control sobre su funcionamiento.
Si estos dispositivos se ven comprometidos, pueden ocasionar lecturas imprecisas de información sanitaria, lo que llevaría a sobredosis de medicamentos e insulina. Incluso a la administración de microdescargas eléctricas en el caso de los destinados al control del corazón cuando no sea necesario, causando problemas de salud de importancia.
¿Por qué tienen vulnerabilidades?
En muchos casos, la vulnerabilidad de estos dispositivos se debe en parte a las consecuencias de su diseño, que debe ser pequeño y ligero para que no interfiera con otras funciones del organismo en el que se insertan. También para ampliar la vida útil de sus baterías. Por todo esto, el espacio que tienen disponible para la instalación de hardware de seguridad es muy limitado, y fallan en cuando a protección.
Algunos, incluso, pueden ser vulnerables a simples interferencias de señales de radio. Las frecuencias empleados por los que son wireless para transmitir datos puede aparecer en los manuales que acompañan a los dispositivos, y por tanto ser pública. Esto es un foco de atención para los atacantes, que pueden utilizarlas para interceptarlos o cambiar su funcionamiento.
Hasta no hace mucho, se veía a estos dispositivos como equipo de bajo riesgo en cuanto a seguridad. Por eso, los presupuestos para dotarlos de ella eran mínimos, y la mayor parte no tiene funciones de seguridad integrada, por los gastos que conllevaría crearlas. Especialmente delicados son los dispositivos que pueden dar entrada a servidores web y de bases de datos.
Los dispositivos conectados a bases de datos son objetivos prioritarios para recibir inyecciones de código SQL dañino. Son su principal amenaza, aunque ha quedado demostrado que hay muchas más hace alrededor de 15 años. Tanto, que un vicepresidente estadounidense hizo que en 2007 desactivasen la función wireless de su desfibrilador intracardiaco.
El control externo de las bombas de insulina y los controladores de glucosa es bastante sencillo, e incluso hay dispositivos a la venta en Internet diseñados para controlarlos. También se pueden hackear los dispositivos médicos de mayor envergadura, como los robots utilizados en varias especialidades de cirugía, lo que pondría en riesgo a los pacientes. El hecho de que estos dispositivos se puedan hackear no es un asunto que se deba tomar a la ligera, porque una vez conseguido el acceso a ellos, los atacantes podrían desactivarlos o alterar su funcionamiento para hacer daño.
Esto ha hecho que los fabricantes de este tipo de dispositivos hayan ido prestando cada vez más atención a su seguridad. Paralelamente, organismos como la FDA estadounidense cuentan con un sistema de avisos de vulnerabilidades conocidas de todos los niveles de gravedad. También emiten avisos de las vulnerabilidades que encuentran, lo que permite que sus fabricantes puedan mitigarlas. Afortunadamente, la mayoría de estas se descubren en escenarios en los que los pacientes no se ven directamente afectados.
A los dispositivos sanitarios de IoT, además, pueden afectarles ataques en las redes médicas a las que suministran información. Ya sucedió con WannaCry en 2017 en Reino Unido, donde este ataque, que afectó al Servicio nacional de salud, expulsó a la plantilla de los hospitales y centros de salud del sistema de control de dispositivos importantes, como los utilizados en los análisis de sangre y en las resonancias magnéticas.
La antigüedad de los aparatos y sus vulnerabilidades, un problema serio
Otra de las preocupaciones de los dispositivos médicos conectados es su antigüedad. Todavía quedan en funcionamiento muchos dispositivos y software anticuados y que ya no se actualizan, lo que hace que su seguridad no mejore y estén cada vez más desprotegidos. Además, algunos pueden permanecer funcionado durante décadas sin soporte de sus fabricantes, lo que aumenta sus riesgos.
Otros muchos ofrecen muchas dificultades para su reparación, o para recibir actualizaciones. Especialmente, los implantados en el cuerpo de los pacientes, como los marcapasos. Estos, una vez integrados, no pueden depender de cirugías para actualizar su software, por ejemplo.
Esto ofrece más complicaciones para mantenerlos protegidos, lo que unido a su elevada esperanza de vida útil ofrece a los hackers bastantes oportunidades para descubrir y explotar sus vulnerabilidades, que irán en aumento a medida que pasen los años. Lo único bueno es que acceder a los más antiguos no es nada sencillo, puesto que muchos no están diseñados para conectarse a Internet. No sucede lo mismo con los más nuevos, que también son los que ofrecen más peligro.
Por eso no solo hace falta que se aprueben regulaciones que hagan que estos dispositivos tengan el mayor nivel de protección posible de entrada. En la medida de lo posible, siempre habrá que procurar sustituirlos por otros antes de que finalice su periodo de soporte técnico. Y si no es posible, es necesario investigar qué otro tipo de controles para mejorar su seguridad se pueden adoptar.
Cómo proteger los dispositivos médicos de ataques
Hasta ahora la situación parece muy apocalíptica en cuanto a las vulnerabilidades de los dispositivos médicos. Especialmente en el caso de los más nuevos que cuentan con conexión a Internet. Pero en muchos casos, protegerlos hasta cierto punto solo requiere de cierta dosis de sentido común.
Así, los proveedores de los equipos deben asegurarse de que los usuarios protegen el acceso a los dispositivos que utilizan con contraseñas que solo sepan ellos y terceros de confianza. Estas contraseñas, además, tienen que ser seguras, de la misma manera que deben serlo las que se utilizan para proteger el acceso a cuentas de servicios online. Algunos más antiguos tienen contraseñas que no se pueden cambiar, pero con los más recientes no es el caso.
Además, estos dispositivos deberían conectarse únicamente a sistemas considerados seguros. Idealmente, en un entorno médico protegido. Los dispositivos electrónicos personales, como los móviles, que se conectan a ellos, deberían a su vez estar protegidos con contraseñas seguras y contar con un software antivirus instalado.
Cada vez que estos dispositivos tengan una actualización de seguridad, sus fabricantes y proveedores deberían avisar a los centros sanitarios, doctores y pacientes de la necesidad de instalar los parches de seguridad y actualizaciones que sean necesarios. Lo mismo sucede si el hardware resulta ser defectuoso: habrá que cambiarlo.
Pero estos avisos serán útiles solo si llegan a los pacientes, para lo que tendrán que registrar sus dispositivos con sus fabricantes. Las comunicaciones de actualizaciones, además, tienen que ser claras, concisas y de comprensión fácil, sin tecnicismos. Tendrán que incluir lo que necesita hacer el usuario y si tienen que hacerlo con la ayuda de un profesional de la medicina.
Por otra parte, resulta tranquilizados saber que la tecnología que limita el potencial que pueden tener los atacantes para acceder a estos dispositivos está mejorando. La distancia a la que puede leerse la información recogida por ellos se ha reducido, lo que dificulta que un tercero pueda acceder a ella si no está prácticamente pegado a un paciente que lo lleve. El auge de la tecnología asociada al organismo humano, que utiliza el mismo como un medio de transmisión, puede ayudar a asegurarse de que solo hay personas concretas con acceso a los dispositivos que la incorporan.
Poner en marcha una estrategia de gestión del riesgo en general, también puede ayudar, con inventarios con los tiempos de descarga de información de los dispositivos, dónde se almacena, quién tiene acceso a ella y dónde puede transmitirse puede facilitar la protección. Ÿ en caso de que se de una brecha de seguridad, tener un control de todo el material y datos que han quedado expuestos.
También hay que hacer pruebas de penetración y escalado sobre estos dispositivos, algo que deben acometer los centros y entidades médicas encargados de administrarlos. Al actuar de manera proactiva se identifican con más facilidad los puntos por los que podrían entrar a los dispositivos los hackers para luego acceder a otros sistemas, como bases de datos médicos. También se consigue encontrar la manera de mitigar las vulnerabilidades con más facilidad.
Compartir información sobre vulnerabilidades entre fabricantes de dispositivos médicos también puede ayudar, ya que hacer que la información sobre seguridad se tenga en cuenta en el conjunto del sector permitirá mejorar la seguridad desde un primer momento. Todo por evitar que los dispositivos de IoT médicos se conviertan en un peligro para la seguridad y la salud de los pacientes.
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
Los 12 principales cursos y certificaciones sobre IA generativa
Dropbox añade cifrado de extremo a extremo e integraciones con Teams y Copilot
Ayesa sufre un ataque de ransomware
«El uso que hacemos de la IA es único en el mercado»
La computación cuántica en la nube da un paso más para garantizar la seguridad y privacidad
Canva compra Affinity para convertirse en competidor de Adobe
Menos visibilidad, falta de control o soporte técnico limitado: cómo superan las empresas estos desafíos del teletrabajo
Salesforce amplía el despliegue de IA con la llegada de Einstein Copilot a Tableau
Amazon invierte 2.750 millones más en Anthropic
«Es más importante regular casos de uso que modelos de IA»
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
Snowflake anuncia Arctic, su propio modelo grande de lenguaje para empresas
VISA introduce nueva IA para luchar contra el fraude digital en los pagos
Cisco Webex AI Assistant, colaboración con IA para la oficina y los contact center
Microsoft añade varias herramientas de seguridad y protección a Azure AI Studio
Amazon invierte 2.750 millones más en Anthropic
«Nuestra meta es que la IA sea una parte integral del trabajo de nuestros clientes»
-
A FondoHace 4 díasCómo escoger la plataforma UEM más adecuada para tu empresa
-
NoticiasHace 5 díasLas tres principales recomendaciones para poner en marcha una estrategia de seguridad zero trust
-
NoticiasHace 5 díasMeta lanza Llama 3, la renovación de su modelo abierto de IA generativa
-
NoticiasHace 5 díasDES2024 lleva a Málaga lo último en avances tecnológicos para distintos sectores de la industria