Tal y como se expuso en un primer artículo en www.gerencia.cl (ver en https://bit.ly/37Fp9IE), los ciberataques al sector sanitario son bastante difíciles de detectar. “Son, de hecho, mucho más complicados de reconocer que un robo bancario. En este sentido, es de vital importancia proteger tres aspectos clave para evitar que esto suceda: la confidencialidad de los datos clínicos y personales, la seguridad de las tecnologías empleadas, así como la integridad de la información manejada”, señala Sandra Arias Vargas, Unidad de Hacking Entelgy Innotec Secure.
“Por lo mismo, ahora hablaremos del caso concreto de los marcapasos, enumerando los principales fallos de seguridad que se han detectado en estos”, agrega la ejecutiva.
¿Qué es un marcapasos?
De acuerdo a la profesional, se trata de un pequeño aparato que se implanta bajo la piel y que, gracias a una serie de impulsos eléctricos, ayuda al corazón a mantener un ritmo de latidos constante y adecuado. Un marcapasos contiene un generador de impulsos eléctricos con uno o dos cables y sus correspondientes electrodos. Dentro de este hay un chip que es el encargado de percibir el ritmo de los latidos y enviar impulsos artificiales, si fuera necesario, para mantener el ritmo cardíaco normal”.
“Los marcapasos deben ser revisados y su firmware actualizado para su mejora, y así poder evitar ataques por vulnerabilidades existentes. A continuación, mostramos el flujo de un marcapasos, donde se puede comprobar que pueden darse dos escenarios”, agrega la ejecutiva.
“En el primero de ellos, aparece un paciente con marcapasos en su propia casa. Dicho dispositivo está conectado de manera inalámbrica a un sistema de monitorización. Y de aquí puede conectarse o enviar datos a una red de apoyo de paciente”, comenta Sandra Arias Vargas.
“En el segundo caso, es en la consulta médica donde se revisa dicho marcapasos para poder modificar parámetros que beneficien al paciente y ver su funcionamiento, a través de radiofrecuencia y un receptor de datos, con el software necesario implementado (programador físico)”, indica.
Esta arquitectura puede comprometer la disponibilidad, confidencialidad e integridad de los datos, pero ¿puede un hacker matar a alguien a distancia si hackea su dispositivo y accede a esta información?
“En el caso de que una persona necesite recibir una descarga y el marcapasos no se la dé porque alguien lo está controlando por su cuenta, la respuesta sería sí. Igual en el caso contrario, es decir, que un paciente reciba descargas que aceleran su ritmo cardíaco porque alguien tiene el control del aparato”, añade la ejecutiva de la Unidad de Hacking Entelgy Innotec Secure.
“A raíz de fallos en marcapasos en laboratorios tan importantes como Abbot y Medtronic, se han realizado estudios de fallos de seguridad en dichos dispositivos. De hecho, los medios de comunicación se hicieron eco de estos fallos2, señala.
¿Cuáles son los principales fallos encontrados?
De acuerdo a lo explicado por la ejecutiva:
1. Se consiguió obtener subsistemas de los cuatro mayores proveedores mediante páginas públicas de subastas. En el siguiente cuadro aparecen los productos adquiridos en sitios como eBay, tanto para dispositivos de monitorización como para programadores físicos:
2. Microprocesadores comerciales listos para usar. Aunque no sea una vulnerabilidad en sí, ayuda a los usuarios malintencionados a realizar procesos de ingeniería inversa. En los circuitos integrados se pueden encontrar, por ejemplo, señales o códigos de control. Estos últimos proporcionan términos consultables cuando se desensambla el firmware y hace posible encontrar componentes de hardware específicos, como la memoria flash. Por tanto, un usuario malintencionado podría acceder e identificar funciones críticas asociadas al sistema.
3. Los dispositivos embebidos suelen incorporar interfaces para proporcionar depuración en el circuito. Destinado a las pruebas funcionales, se utilizan interfaces para adquirir firmware, seguir instrucciones, leer secciones de memoria, capturar y restaurar segmentos de memoria, así como alterar los valores de registro. En este sentido, un atacante tiene el potencial de adquirir firmware del subsistema y pausar y redirigir el flujo de instrucciones.
4. A la hora de configurar parámetros, un atacante podría ganar acceso con privilegios a cada uno de los terminales a través de una consola.
5. Los símbolos de depuración y comentarios en el código fuente pueden revelar la funcionalidad del sistema.
6. Uso de librerías de terceros que pueden incluir vulnerabilidades que no suelen ser parcheadas o que están obsoletas, por lo que esto podría suponer otra puerta de entrada para el usuario externo.
7. Los dispositivos de monitorización incluyen conexiones USB externas y un atacante tiene la opción de atravesar el sistema de archivos o introducir software malicioso.
8. El sistema de credenciales de varios proveedores viene sin codificar, por lo que un atacante tiene el potencial de usar la directiva de credenciales para autenticarse a la red de apoyo y obtener las comunicaciones entre un dispositivo y otro. Además, hay datos de pacientes en los discos duros sin cifrar. Tal y como se puede observar en el siguiente cuadro, las comunicaciones iban por “FTP”:
9. Los programadores médicos utilizan circuitos de radio incorporados para transmitir señales y programar el dispositivo cardíaco. El análisis revela que se utiliza lo mismo para los sistemas de monitorización. Como resultado, se puede aprovechar el dispositivo de monitorización para realizar las mismas funciones de programación que el programador médico.
10. El análisis muestra que los dispositivos cardíacos implantables carecen de la implementación de lista blanca de comandos. Por tanto, un atacante podría falsificar programación de comandos para este dispositivo utilizando hardware personalizado.
11. Se identifican tokens de autenticación permanentes que permiten el emparejamiento de cualquiera con un dispositivo cardíaco implantable. Y si no se implementan otros controles de seguridad, un usuario externo puede tener la posibilidad de usar el token de autenticación universal para falsificar una sesión con cualquier implante cardiaco.
“Hemos hablado de casos concretos de intrusión avanzada, dejando al descubierto la necesidad que tienen las instituciones de salud de hacerse cargo de introducir las más eficaces técnicas y recursos de seguridad, por el bien de la industria y de sus pacientes”, concluyó la profesional de la Unidad de Hacking Entelgy Innotec Secure.
