Clicky

Paga el rescate o muere

Vulnerabilidad en marcapasos

Encontradas en marcapasos cardíacos más de 8.600 vulnerabilidades

"Si quieres seguir viviendo, paga un rescate, o morirás". Esto podría suceder, ya que los investigadores han encontrado miles de vulnerabilidades en los marcapasos que los hackers podrían explotar.

Millones de personas que dependen de los marcapasos para mantener sus corazones latiendo están en riesgo de fallas de software y hackers, que podrían acabar con sus vidas.

Un marcapasos es un pequeño dispositivo eléctrico de pilas que se implanta quirúrgicamente en el pecho para ayudar a controlar los latidos del corazón. Este dispositivo utiliza pulsos eléctricos de baja energía para estimular el corazón a latir a una velocidad normal.

Mientras que las empresas de seguridad cibernética están mejorando continuamente el software y los sistemas de seguridad para proteger los sistemas de los piratas informáticos, los dispositivos médicos como las bombas de insulina o los marcapasos también son vulnerables a hackers que amenazan la vida.

En un reciente estudio, los investigadores de la firma de seguridad White Scope analizaron siete productos de marcapasos de cuatro vendedores diferentes y descubrieron que usaban más de 300 bibliotecas de terceros, de las cuales 174 tienen más de 8.600 vulnerabilidades que los hackers podrían explotar en programadores de marcapasos.

"A pesar de los esfuerzos de la FDA para agilizar las actualizaciones de seguridad cibernética de rutina, todos los programadores que examinamos tenían software anticuado con vulnerabilidades conocidas", escribieron los investigadores en una entrada de blog sobre el estudio.

"Creemos que esta estadística demuestra que el ecosistema del marcapasos tiene algunos retos serios cuando se trata de mantener los sistemas actualizados. Ningún vendedor realmente se destacó por tener una historia de mejor/peor actualización en comparación con sus competidores".

El análisis de White Scope abarcó los dispositivos cardiacos implantables, equipos de monitoreo en casa, programadores de marcapasos y sistemas basados en la nube para enviar los datos vitales del paciente a través de Internet a los médicos para que los examinaran.

programador de un marcapasos

Todos los programadores examinados por la firma de seguridad tenían software anticuado con vulnerabilidades conocidas, muchas de las cuales ejecutan Windows XP.

¿Qué es aún más aterrador? Los investigadores descubrieron que los dispositivos de marcapasos no autentican a estos programadores, lo que significa que cualquier persona que tenga en sus manos un dispositivo de monitoreo externo podría potencialmente dañar a los pacientes con un marcapasos implantado que podría dañarlos o matarlos.

Otro descubrimiento preocupante de los investigadores es con la distribución de programadores de marcapasos.

Aunque la distribución de los programadores de marcapasos debe ser controlada cuidadosamente por los fabricantes de dispositivos de marcapasos, los investigadores compraron todo el equipo que probaron en eBay.

Por lo tanto, cualquier herramienta de trabajo vendida en eBay tiene el potencial de dañar a los pacientes con el implante. ¡Vaya!

"Todos los fabricantes tienen dispositivos que están disponibles en sitios web de subastas", dijeron los investigadores. "Los programadores pueden costar entre $ 500 - $ 3.000, un equipo de monitorización de casa de $ 15- $ 300, y dispositivos de marcapasos $ 200- $ 3.000".

¿Qué más? En algunos casos, los investigadores descubrieron datos de los pacientes sin cifrar almacenados en los programadores de marcapasos, incluyendo nombres, números de teléfono, información médica y números de Seguro Social (SSN), dejándolos abiertos para que los hackers los robaran.

Otro problema descubierto en los sistemas de marcapasos es la falta del proceso de autenticación más básico: el nombre de inicio de sesión y la contraseña, lo que permite a los médicos autenticar un programador o dispositivos de implante cardíaco sin tener que introducir una contraseña.

Esto significa que cualquier persona dentro del alcance de los dispositivos o sistemas puede cambiar la configuración del marcapasos de un paciente utilizando un programador del mismo fabricante.

Matthew Green, profesor de ciencias de la computación en Johns Hopkins, señaló en Twitter que los médicos no están dispuestos a permitir que los sistemas de seguridad bloqueen la atención al paciente. En otras palabras, el personal médico no debe ser obligado a iniciar sesión con credenciales durante una situación de emergencia.

"Si usted requiere que los médicos inicien sesión en un dispositivo con una contraseña, usted terminará con una nota post-it en el dispositivo con la lista de la contraseña", dijo Green.

La lista de vulnerabilidades de seguridad que los investigadores descubrieron en dispositivos fabricados por cuatro proveedores incluye credenciales codificadas en disco duro, conexiones USB externas no seguras, falta de mapeo del firmware a memoria protegida, falta de actualizaciones de firmware de marcapasos cifrados y uso de tokens de autenticación universal para emparejarse con los dispositivos de implantes.

White Scope ya ha contactado al Equipo de Respuesta a Emergencias Cibernéticas de Sistemas de Control Industrial del Departamento de Seguridad Nacional (ICS-CERT) de Estados Unidos, por lo que los fabricantes de los dispositivos probados pueden solucionar los defectos.

Jesus_Caceres