“Si quieres seguir viviendo, paga un rescate en BTC para evitar que hackeemos tu marcapasos, o mueres”. Esto podría pasar,
investigadores han descubierto miles de vulnerabilidades aprovechables por
hackers en dispositivos de marcapasos.
Millones de personas que confían en los marcapasos para
mantener sus corazones latiendo están a la merced de errores de software y de
piratas informáticos, que podrían incluso matarles.
Un marcapasos es un pequeño dispositivo que funciona con una
batería eléctrica y es implantado quirúrgicamente en el pecho del paciente para
ayudar a controlar los latidos del corazón. Este dispositivo utiliza pulsos eléctricos
de baja potencia para estimular al corazón a latir a un ritmo normal.
Mientras las empresas de ciberseguridad están continuamente
mejorando los sistemas y softwares de seguridad para protegerlos de ataques malintencionados,
los dispositivos médicos como las bombas de insulina o los marcapasos son
vulnerables a hackeos que no amenazan datos, sino vidas.
En un estudio reciente, investigadores de la firma de
seguridad White Scope analizaron 7 marcapasos de cuatro diferentes marcas y
descubrieron que usan más de 300 librerías de uso libre, 174 de estas con cerca
de 8600 vulnerabilidades conocidas que los hackers podrían explotar para tomar
control de los marcapasos.
“a pesar de los esfuerzos de la FDA para facilitar el acceso a las actualizaciones de seguridad importantes, todos los marcapasos que examinamos tenían software desactualizado con vulnerabilidades conocidas,” escribieron los investigadores.
“Creemos que esta estadística muestra que el ecosistema de los marcapasos tiene muy grandes desafíos para mantener sus dispositivos actualizados, cabe destacar que ninguna marca se destacó sobra otra por tener una mejor o peor historia de actualizaciones al ser comparadas.”
El análisis de White Scope abarcó los dispositivos cardiacos
implantables, equipos de monitoreo en casa, programadores de marcapasos y sistemas
basados en la nube que envian los datos vitales del paciente a través de
Internet a los médicos para que los examinen.
Todos los dispositivos examinados por White Scope tenían
software desactualizado con vulnerabilidades conocidas, algunos de ellos
incluso corrían el ya obsoleto Windows XP -Colega si aún usas esa cosa, actualízate
y haznos un favor a todos-.
¿Qué es un aún más aterrador?
Los investigadores
descubrieron que los marcapasos no tienen ningún tipo de protección a quien
puede modificar su programa, lo que significa que cualquier persona que consiga
un dispositivo programador de marcapasos podría potencialmente lastimar o
incluso matar a pacientes modificando sus marcapasos remotamente.
Otro problema descubierto por los indagadores es con la
distribución de los programadores de marcapasos.
Aunque la distribución de estos programadores debería ser
controlada cuidadosamente por los fabricantes, los investigadores compraron
todo el equipo para las pruebas… ¡En Ebay!
Cualquiera de estos equipos tiene el potencial para lastimar
o matar a un paciente con marcapasos, no deberían ser vendidos libremente.
“Todos los fabricantes tienen dispositivos que están disponibles en sitios web de subastas,” dijeron los investigadores”. “Un programador de marcapasos puede costar en cualquier lado desde 500$ hasta 3000$, equipos de monitoreo casero 15-300$, y marcapasos desde 200 y los más caros 3000$.”
¿Algo más?
En algunos casos, los investigadores encontraron
programadores de marcapasos con datos desencriptados de pacientes, incluyendo
nombres, número telefónico, información médica y sus números de seguridad
social (SSNs), dejando una brecha abierta a los hackers para robarlos.
Otro error descubierto es que los sistemas de los marcapasos
carecen incluso de la medida de seguridad más básica, el proceso de
autenticación con usuario y contraseña, lo que les permite a los doctores -y a
los hackers- programar a los dispositivos de implante sin ni siquiera entrar
una contraseña.
Esto significa que cualquiera que tenga alcance a los
dispositivos o sistemas puede cambiar la configuración del marcapasos de un
paciente utilizando un programador del mismo fabricante.
Matthew Green, profesor de ciencias de la computación en
Johns Hopkins, señaló en Twitter que los médicos no están dispuestos a permitir
que los sistemas de seguridad bloqueen la atención al paciente. En otras
palabras, el personal médico no debe ser obligado a iniciar sesión con
credenciales durante una situación de emergencia.
“Si el dispositivo requiere que el doctor ingrese con alguna
contraseña, este terminará con una nota pegada donde diga la contraseña,” dijo
Green
La lista de las vulnerabilidades que encontraron los investigadores en dispositivos fabricados por cuatro marcas diferentes incluye
- Credenciales codificadas
- Conexiones USB externas inseguras
- Falta de mapeo del firmware a la memoria protegida
- Falta de actualizaciones de firmware del marcapasos cifrado
- Uso de tokens de autenticación universal para emparejarse con el dispositivo implantado.
White Scope ya ha contactado con el Equipo de Respuesta a
Emergencias Cibernéticas de Sistemas de Control Industrial del Departamento de
Seguridad Nacional (ICS-CERT), para que los fabricantes de los dispositivos
probados pueden solucionar las fallas.
Sign up here with your email
ConversionConversion EmoticonEmoticon