Desde hace algunos años ha cobrado fuerza el tema de seguridad en temas del ámbito de la salud, específicamente en los dispositivos médicos sobre los cuales se han dado a conocer pruebas que evidencian fallas de seguridad. Diversas investigaciones han publicado los resultados de pruebas de hackeo en las que se ha logrado aprovechar vulnerabilidades, principalmente en dispositivos médicos implantables (IMD, por sus siglas en inglés) como bombas de insulina, monitores de salud y desfibriladores cardiacos.
En el año 2008, el centro de investigación Medical Device Security Center publicó un estudio acerca de pruebas de seguridad realizadas en desfibriladores cardiacos implantables (ICD, por sus siglas en inglés), en las que se describe cómo fue posible alterar su funcionamiento, aprovechando que dichos dispositivos son operados mediante señales de radio, las cuales no viajan cifradas. Mediante la manipulación no autorizada, el estudio explica que hubiera sido posible apagar el dispositivo o, en el peor de los casos, enviar choques eléctricos a un paciente.
Posteriormente, en el evento BlackHat del año 2011[1], Jerome Radcliffe, durante su conferencia titulada “Hacking Medical Devices for Fun and Insulin”, expuso como al ser diagnosticado con diabetes optó por utilizar un método alternativo para su tratamiento: una bomba de insulina.
Motivado por su experiencia como consultor en seguridad decidió tratar de hackear su bomba de insulina y su monitor de glucosa (CGM, por sus siglas en inglés) en los que encontró cierta similitud conceptual con los sistemas SCADA pues el monitor de glucosa utiliza sensores que envían, a través de una señal inalámbrica, información hacia un receptor que monitorea la cantidad de azúcar en la sangre cada cinco minutos. Después de analizar ambos elementos por separado, mencionó los siguientes dos ejemplos de ataques teóricos:
- Ataque al monitor continuo de glucosa. Un ataque hipotético consistiría en falsificar los datos del sensor para modificar las lecturas del nivel de azúcar en la sangre a través de un “replay attack”. Las consecuencias para un paciente son peligrosas, ya que de la lectura de dicho nivel de azúcar depende la cantidad de insulina a suministrar, así pues, por ejemplo, al detectar un exceso de insulina puede provocar hipoglucemia.
- Ataque a la bomba de insulina. Modificación de las opciones de configuración que se utilizan para calcular la cantidad de insulina suministrada al paciente. Esto podría lograrse mediante el uso de un dispositivo inalámbrico para comunicarse con la bomba de insulina y, mediante ciertos comandos, modificar la configuración para alterar su funcionamiento.
.
Por otra parte, una investigación publicada este año por la firma Independent Security Evaluators, con el nombre “Securing Hospitals”[2], detalla los resultados de una evaluación realizada en varios hospitales de distintas zonas de Estados Unidos. Aunque el estudio se llevó a cabo con un enfoque más amplio, analizando la seguridad en hospitales desde diversos puntos de vista, en uno de los escenarios lograron comprometer un monitor de pacientes, clasificado como dispositivo medico pasivo ya que no interactúa o suministra ningún tratamiento directamente, y se menciona que las acciones que los consultores efectuaron una vez que comprometieron el aparato consistieron en activar y desactivar alarmas, así como desplegar información incorrecta sobre los signos vitales de los usuarios.
En la mayoría de los estudios publicados hasta ahora, si bien se ha hablado de la posibilidad de concretar ciertos ataques, existen varios factores que influyen en que estos tengan éxito, por ejemplo:
- En algunos casos se utilizó equipo tecnológico costoso, que no estaría al alcance de un atacante cualquiera.
- A veces se requiere estar cerca del dispositivo médico, es decir, un atacante requeriría evadir primero la seguridad física de un hospital.
- Se requieren conocimientos avanzados en tecnologías específicas.
.
Quizá debido a lo anterior puede creerse que este tipo de amenazas representan un riesgo bajo.
.
¿Qué se puede hacer ante estos ataques?
En México existe la Norma Oficial Mexicana OM-241-SSA1-2012 (buenas prácticas de fabricación para establecimientos dedicados a la fabricación de dispositivos médicos[3]), que establece que los fabricantes deben realizar auditorías técnicas a los dispositivos médicos en todos los puntos establecidos en dicha norma, entre los que se contempla, por ejemplo, abarcar validaciones utilizando un enfoque de análisis de riesgos del dispositivo médico, integrando dichas actividades de validación en lo que la norma llama un Plan Maestro de Validación, que incluya los programas o aplicaciones computacionales que impacten en la calidad del producto, entre otros elementos.
Sería importante evaluar en qué grado los proveedores de dispositivos médicos han tomado conciencia sobre este tema y si realizan pruebas de seguridad a los productos que comercializan. En el caso de México, conocer si los fabricantes se apegan a la Norma Oficial Mexicana sería recomendable, pero sobre todo conocer qué tipo de pruebas técnicas efectúan.
Los hospitales, como cualquier organización, deberían contar con una postura y enfoque formales de seguridad de la información en la que contemplen evaluaciones técnicas de seguridad, no solo de la infraestructura tecnológica que soporta las operaciones administrativas sino de los dispositivos médicos que utilizan.
Si bien hasta ahora no se han publicado ataques exitosos de este tipo fuera de ambientes controlados o de prueba, si no se toma conciencia sobre el tema y se toman acciones preventivas oportunas, puede que en un futuro esta situación cambie.
.
.
[1] https://media.blackhat.com/bh-us-11/Radcliffe/BH_US_11_Radcliffe_Hacking_Medical_Devices_WP.pdf
[2] https://www.securityevaluators.com/hospitalhack/
[3] http://dof.gob.mx/nota_detalle.php?codigo=5272051&fecha=11/10/2012
Tema interesante, incluso la FDA ha insistido en examinar el riesgo NO intencional que llega a suceder como resultado de la gestión de riesgos, gestión de parches y vulnerabilidades, auditoria técnica y la rendición de cuentas, o las actividades de respuesta a incidentes de seguridad. Incluso se ha previsto que puede haber ataques hasta en hospitales con marcapasos, desfibriladores o controladores de morfina.