Marcapasos deben ser actualizados por riesgo de hacking

Los expertos en seguridad informática llevan tiempo advirtiendo de que la seguridad de todo tipo de implantes médicos y prótesis es muy dudosa, utilizando medidas de protección insuficientes y evitando la clase de inspecciones a las que sí son sujetos otros dispositivos. Ahora la Administración de Alimentos y Medicamentos de Estados Unidos (FDA por sus siglas en inglés) les ha dado la razón al comunicar que 465.000 marcapasos fabricados por la firma Abbott son susceptibles de ser hackeados y deberán actualizar su firmware.

El mecanismo que podría utilizar un atacante para acceder a uno de estos marcapasos no ha sido descrito públicamente, pero posiblemente requiere estar en proximidad de la víctima para poder alterar su funcionamiento. Sea como sea, la posibilidad de que un atacante pueda alterar el funcionamiento de un dispositivo específicamente diseñado para regular los latidos del corazón resulta preocupante.

Este nuevo caso pone en riesgo a 465.000 personas usuarias de un seis modelos de marcapasos de la marca St Jude Medical fabricados por la firma de salud Abbott, debido a que, nuevamente, la información que transmite el dispositivos no posee ningún tipo de cifrado, lo que ha llevado a la compañía a iniciar un proceso de recall, donde la parte complicada es ¿cómo retiras del mercado casi medio millón de marcapasos implantados quirúrgicamente?

Según explica el boletín de la FDA:

[...] estas vulnerabilidades, de ser explotadas, permitirían a un usuario no autorizado (por ejemplo, alguien que no fuera el médico del paciente) acceder al dispositivo del paciente utilizando equipamiento disponible comercialmente. Este acceso podría ser utilizado para modificar comandos de la programación del marcapasos implantado, lo que podría resultar en el daño al paciente a través de la descarga rápida de la batería o de la administración de un ritmo inapropiado.

Por fortuna para los pacientes con uno de los marcapasos afectados, la operación de actualización de firmware se puede realizar en unos minutos de forma no intrusiva gracias a una conexión RF.

Si bien este tipo de hacks todavía no han sido encontrados fuera del laboratorio, organizaciones como Europol han alertado de que el creciente número de dispositivos inteligentes a nuestro alrededor abre todo tipo de puertas a posibles atacantes. El robo de información personal será la amenaza más presente, pero casos como el que ahora nos ocupa demuestran que el potencial para hacer el mal podría alcanzar extremos sumamente peligrosos si los fabricantes no toman las medidas de precaución adecuadas.

Esta vulnerabilidad fue descubierta por la empresa de ciberseguridad MedSec, que se especializa en la seguridad de dispositivos médicos e industrias relacionadas con la salud. Lo preocupante de todo, es que este es el segundo fallo en seguridad que encuentran en los dispositivos SJM, algo que incluso les provocó una demanda por parte de la empresa de salud al haber revelado dicha vulnerabilidad.

Abbott adquirió SJM en enero de este 2017, y a los pocos días se tuvo que publicar e instalar una primera actualización a sus marcapasos debido a que en ciertas circunstancias se podría alterar la información de la batería de los dispositivos.

Durante 2016, MedSec fue cuestionada por sus procesos poco éticos al dar a conocer fallos de seguridad en dispositivos médicos, ya que en vez de dar la voz de alerta a la compañía responsable, lo hacían en primer lugar a la firma Muddy Waters Capital, quien se beneficiaba de la compra y venta de acciones después del golpe que significaba hacer público el fallo de seguridad de la compañía en cuestión.

Después de la demanda de SJM a MedSec, Justine Bone, CEO de MedSec, justificó está práctica al mencionar que "este método poco tradicional que ha levantado críticas ha sido la única manera de estimular a que SJM tomara cartas en el asunto".

Fuente: CNET

Suscríbete a nuestro Boletín