Según han revelado firmas de seguridad, cualquier dispositivo médico conectado a la red puede ser intervenido y controlado a distancia. Descubra los equipos que están en riesgo.

Hoy en día cualquier dispositivo que pueda conectarse a una red es vulnerable a presentar brechas de seguridad que aprovechen los cibercriminales y, lamentablemente, los dispositivos médicos, como un marcapasos o un desfibrilador, no están exentos, siendo el peor escenario la muerte.

Uno de los casos que más llamó la atención fue el de Barnaby Jack, quien a finales de 2012 demostró que se puede controlar un marcapasos a 10 metros de distancia para modificar el ritmo del corazón e, incluso, usar el dispositivo para “descargas mortales”. Jones murió unos meses antes de participar en la conferencia de ciberseguridad Black Hat,en Las Vegas donde mostraría su hallazgo para alertar al mundo.

"Cualquier dispositivo médico que tenga conectividad a la red, que son muchos, hoy en día puede ser hackeado”, afirmó el director global de sistemas críticos de seguridad de Codenomicon, Mike Ahmadi.

El experto en ciberseguridad destacó la importancia de realizar pruebas intensivas a los dispositivos, en lo que Codenomicon tiene bastante experiencia.

La empresa trabaja con varios fabricantes y ha encontrado fallas que permiten controlar a distancia un marcapasos o un desfibrilador, debido a que ambos tienen conexión inalámbrica a la red, o bien cómo manipular una bomba eléctrica de insulina.

Incluso la compañía especializada en la seguridad de los equipos médicos ha detectado que se puede acceder a las redes de los hospitales y modificar aspectos como el nivel de morfina que se administra a un paciente.

"En términos de lo que es peor, hay que tomar en cuenta qué dispositivo se ataca y  para qué sirve. Si se trata de un equipo que ayuda a soportar la vida de un paciente, la muerte sin duda es el peor escenario”, advirtió en entrevista con Excélsior.
 
Cultura de prevención

Ahmadi indicó que no existen casos registrados de que un equipo médico haya sido vulnerado y, en consecuencia, provocado la muerte de alguien, sin embargo esto no significa que se deba bajar la guardia.

Lo anterior, porque dichos equipos no tienen una función que permita rastrear las actividades que realizan y, por lo mismo, no hay manera de saber si fue hackeado.

Ante este escenario, el director de sistemas críticos de ciberseguridad de Codenomicon aseguró que la mejor forma para evitar estos ataques es crear una serie de normas básicas de seguridad que cumplan los fabricantes porque han encontrado fallas que en otros sectores como telecomunicaciones hace años que no se cometen.

En Estados Unidos se tienen recomendaciones, mas no requisitos para manufacturar estos dispositivos, comentó Ahmadi, lo que es un “buen comienzo”, pero en otros países todavía no existe una preocupación real y los encargados de la industria se muestran sorprendidos.

Para el especialista es necesario comenzar a tomar acciones porque la tecnología se está moviendo más rápido de lo esperado, solamente hay que ver los brazos robóticos que utilizan las ondas cerebrales, los cuales hace algunos años parecían ciencia ficción y que hoy son una realidad.

“El problema es que las organizaciones que hacen los dispositivos no ponen atención en qué tan rápido los problemas de ciberseguridad se incrementan”, añadió.
 
2015, peligroso

Carl Leonard, analista principal de seguridad en Websense, aseveró que el sector salud sería uno de los más atacados por los criminales cibernéticos este año porque una buena parte de hospitales cuenta ya con el historial clínico y los datos de paciente de manera electrónica.

"No existe ningún otro tipo de registro que contenga tanta información de identificación personal que se pueda utilizar tanto en ataques de seguimiento y diferentes tipos de fraude”, detalló en el reporte Predicciones de Seguridad 2015.

Dichos archivos contienen tanto nombre, dirección y número de seguro social como información financiera y de seguros.

Una muestra del interés que tienen los cibercriminales en esta industria se observa en los datos del Centro de Recursos para Casos de Robo de Identidad, ubicado en Estados Unidos, porque indica que el 43 por ciento de las filtraciones de información más importantes conocidas en 2013 fueron del sector salud.
 
Ante el impulso político para el uso de registros electrónicos en el sector de la salud y la falta de seguridad en los consultorios más pequeños, Leonard advirtió que los ataques cibernéticos contra organizaciones de salud serán más frecuentes y exitosos.