Ciberataques contra la atención médica y dispositivos implantables

¿Puede algún ciberdelincuente modificar a distancia el funcionamiento de dispositivos médicos, como marcapasos o bombas de infusión? ¿Qué tan seguros están nuestros datos personales en los centros de atención médica?

Al parecer nuestra salud y la de nuestros seres queridos, puede verse afectada, al ser víctimas de ciberataques, contra centros de atención médica y dispositivos funcionando en nuestro cuerpo. Paso a comentarles, muy brevemente, como está la situación actualmente.

Pero en primer lugar, debo aclarar que no soy experto en seguridad informática, aunque es un tema que siempre me interesó. Tampoco me dedico a la colocación o manejo de los dispositivos que se citan en el artículo, pero tengo cierto conocimiento de ellos y de su funcionamiento. Hechas estas salvedades, sabrán disculpar alguna que otra imprecisión u omisión, que pude haber cometido al resumir semejante tema. Prosigo entonces, con algunos algunos datos interesantes.

Entre los casos preocupantes surgidos en los últimos tiempos, encontramos el del ex vicepresidente de los Estados Unidos, Dick Cheney, que ordenó realizar cambios en la capacidad de comunicación inalámbrica de su marcapasos para protegerlo de posibles atacantes. La empresa Johnson & Johnson puso en alerta, hace unos meses, a sus clientes, sobre una vulnerabilidad en una de sus bombas de infusión de insulina, que podría ser atacada y controlada a distancia. Este año la FDA, que es el órgano estatal que controla los medicamentos y dispositivos médicos en los Estados Unidos, emitió una guía con recomendaciones sobre la gestión de vulnerabilidades en ciberseguridad. Esta guía aplica a cualquier dispositivo médico comercializado que contengan software o lógica programable.

Por otra parte las redes hospitalarias están bajo continuos intentos de intrusión y ataque. Hay casos bastante resonantes: El año pasado varios centros fueron víctimas de ataques de tipo Ransomware comprometiendo en forma directa la atención de muchos pacientes. Algunos de estos hospitales fueron el Lukas Hospital en Neuss, Alemania, el Rainbow Children’s Clinic en Texas, el Chino Valley Medical Center y el Desert Valley Hospital en California, el Kentucky Methodist Hospital.

Según datos de TrendMicro, el sector de la salud fue la industria que más violaciones y robos de datos sufrió en los últimos años. Este gran volumen de ataques se debe a varias razones, pero para resumir, las instituciones no tienen experiencia, ni recursos suficientes, para tratar con ciberataques y robo de datos. Estos datos, por otra parte, tienen gran valor económico en el mercado negro. Los sistemas informáticos que resguardan y gestionan estos datos, muchas veces son obsoletos, la información no está cifrada, ni se utiliza doble factor de autenticación, entre otros problemas importantes existentes.

Los casos citados ya no pueden considerarse anecdóticos. Las amenazas de ciberseguridad en el área médica son reales, presentes y se encuentran en continua evolución.

En cuanto alguien se apodere de millones de datos médicos, o de especificaciones muy concretas de un determinado producto, implantado en el cuerpo de una persona, es solo cuestión de tiempo hasta que aparezcan otros delincuentes tratando de aprovecharse de esta información.

Parece ciencia ficción, el hecho de que un atacante pueda manipular la dosis de insulina de una persona a distancia, generando una dosis letal. Y esto no está extraído de una película de «Misión Imposible». Es lo que podría estar sucediendo, tal vez, en este momento en algún hospital.

Pero, ¿por qué robar datos?

Si acaso no te preocupa que la CIA, Facebook, Google o quien fuere espíe tu comportamiento diario, tal vez si te interesen los no tan nuevos chantajes y extorsiones que se están dando en el ámbito de “la red”. Y es que hay personas interesadas en poner a enfermos en una eventual situación de vida o muerte a fin de obtener un beneficio económico.

Medjack es un exploit a través del cual los atacantes pueden inyectar malware a dispositivos médicos y, a partir de estos, abrirse camino en la red en cuestión.

Una vez que el atacante se hizo con el control de la red puede sacar provecho de diferentes maneras. Una de las más conocidas es la obtención de una recompensa en bitcoins a cambio de descifrar bases de datos atacadas. Una variante de este ataque es dificultar o impedir el acceso al sistema por parte del personal o pacientes del hospital. En este caso la recompensa monetaria libera los servicios para que puedan ser accedidos con normalidad. Un ejemplo de este ataque consistió en dejar fuera de servicio todo un sistema hospitalario durante una semana, luego de que se pago el rescate. En otro caso se inutilizó el sistema de correo electrónico y comunicaciones, obligando al personal a usar papel y máquinas de fax. Otro destino de los datos es ser utilizados en fraudes fiscales, robos de identidad o incluso pueden usarse para rastrear y adulterar prescripciones de medicamentos para luego venderlas.

Existen muchos sitios en la llamada “Deep Web”, como son TheRealDeal, AlphaBay, Valhala, Dream market o Silk Road que ofrecen por pocos dolares todos estos ‘objetos falsos’.

Sistemas expuestos y vulnerables

En una investigación de TrendMicro utilizando la aplicación Shodan se encontraron centros de salud, equipo médico, redes y bases de datos con información de pacientes expuestos y vulnerables al ataque de cibercriminales. Shodan es un motor de búsqueda que permite encontrar equipos (routers, servidores, etc.) conectados a Internet aplicando filtros. Algunos también lo han descrito como un motor de búsqueda de banners de servicios, que son metadatos que el servidor envía al cliente.

Estos banners muestran metadatos como el sistema operativo utilizado, estructura del sistema de archivos, carpetas, direcciones IP, hostnames, localizaciones geográficas y otros detalles. Muchas de las aplicaciones, impresoras y webcams encontradas con Shodan pudieron ser accedidas por sus contraseñas por defecto, obtenidas de paginas como defaultpasswords.com. Así de fácil. ?

Los dispositivos inseguros, como las impresoras que comentaba anteriormente, pueden ser accedidas y utilizadas para recolectar información e, incluso, ser utilizadas como ‘puerta de entrada’ a la red sobre la cual trabajan.

También existen protocolos de escritorios remotos, configurados para que sean accedidos mediante nombres reales de usuarios. Los delincuentes pueden, mediante técnicas de ingeniería social, hacerse con la password. Estas técnicas de ingeniería social muchas veces consisten simplemente en hurgar en la redes sociales de los usuarios y administradores.

Otro punto débil encontrado es el de los sistemas operativos. Aunque parezca increíble, muchos centros de salud tienen servicios que corren sobre sistemas obsoletos, como Windows XP.

¿Y que pasa con los marcapasos y otros aparatos?

En cuanto a los dispositivos implantables, cada día salen al mercado numerosos productos médicos cuyos desarrollos demoran años, ya que además del tiempo de investigación, y después de lograr un funcionamiento adecuado, deben pasar por numerosos controles. Cuando son autorizados a comercializarse mucha de la tecnología que portan ya es antigua y esto puede resignar seguridad.

Por otra parte, a medida que surgen nuevos dispositivos médicos estos traen características novedosas que los hacen superiores a los modelos anteriores. Algunas de estas mejoras pueden ser la miniaturización del dispositivo, conectividad inalámbrica, monitoreo remoto, etc. Es evidente que la complejidad de estos «gadgets de la salud» aumenta con cada nueva generación. Siempre disponen de un software  propietario para realizar sus funciones, y sus protocolos de comunicación son privativos y no estándares. Esto es así, en general, para intentar mantener el secreto empresarial pero, curiosamente, no ayuda en nada a mantener un estándar de seguridad elevado.

Ya han surgido casos de ‘hackeo’ de dispositivos mediante técnicas de ingeniería inversa a partir de “investigar” un poco el software del dispositivo.  Este fue el caso de una bomba de infusión de medicamentos, cuyos software era vulnerable a ataques remotos y podía alterarse la dosis de medicamentos administrados. Para más detalles de como se logró esto, pueden leerlo aquí. Dicho esto, y no es que sea especialmente paranoico, yo preferiría que me suministren medicación con una bomba lo menos inteligente posible. ?

Conclusión

El Internet de las Cosas (Internet of Things -IoT-) ha llegado para quedarse, incluso en el ámbito de la salud. En algunos años casi todo estará conectado y enviando datos hacia algún servidor. Cualquier dispositivo electrónico funcionando en los hospitales o implantado en una persona cuenta con software, siempre propietario, y con posibilidades de ser vulnerado. Todo esto abre posibilidades enormes para delincuentes que quieran aprovecharse pero también para el software libre, capaz de aportar transparencia y seguridad allí donde sea que esté funcionando.

Las imágenes que aparecen en este artículo se encuentran bajo licencia CC0 Public Domain y se pueden descargar de Pixabay.com.

Bibliografía

Medical Devices Are the Next Security Nightmare

Medical Devices That Are Vulnerable to Life-Threatening Hacks

Postmarket Management of Cybersecurity in Medical Devices

Rainbow Children’s Clinic notifies 33,368 patients of ransomware attack

On the (in)security of the Latest Generation Implantable Cardiac Defibrillators and How to Secure Them

Cybercrime and Other Threats Faced by the Healthcare Industry

2 more Southland hospitals attacked by hackers using ransomware

Hollywood hospital pays $17,000 in bitcoin to hackers; FBI investigating

2 weeks into ransomware lockdown, German hospital awaits instructions from hackers

Ransomware Turns to Big Targets—With Even Bigger Fallout