Hace unos meses os hablamos de un caso de "gambada" terrible ocurrido en los años 80 en el que un bug en el software de una máquina de tomografía axial computerizada provocó incluso muertes entre los pacientes.
En esta ocasión volvemos al mismo ámbito pero para hablar sobre la seguridad de estos dispositivos (o más bien la falta de ella). En los '80 no tenían este problema, claro.
Resulta que un investigador de seguridad ha descubierto que muchos modelos de máquinas de rayos-X y de tomografía axial utilizan claves por defecto débiles y en muchos casos, peor aún, claves conocidas. Para hacer más grave el asunto, muchas de estos aparatos médicos hoy en día se encuentran conectados a Internet para poder ser gestionados en remoto por sus fabricantes.
Esta mezcla explosiva hace que sean un accidente a punto de ocurrir en cualquier momento.
El investigador americano Scott Erven analizó gran cantidad de documentación accesible públicamente sobre máquinas de GE Healthcare, y descubrió que muchas de estos dispositivos utilizan sistemas de claves poco seguros y además emplean claves por defecto conocidas. Para empeorar las cosas, los fabricantes recomiendan a los centros médicos que no cambien dichas credenciales por defecto para poder prestarles así el soporte a través de Internet.
Por ejemplo, ciertas máquinas de examen de cáncer de mama de GE Healthcare tienen como usuario "insite" y como clave "2getin" (súper-complicadas ¿eh?), y algunos escáneres TAC se permite la entrada con la pareja "root"/"install", que es algo de locos. Nada más fácil de adivinar, sobre todo si no se siguen buenas prácticas y no se advierte de los intentos de acceso erróneos, no se fuerzan claves complejas y encima se ponen algunas así de tontas por defecto.
Además, muchas de estas máquinas ahora vienen conectadas a Internet, por lo que encima están a merced de que alguien pueda conectarse a ellas desde cualquier parte del mundo. Para probarlo, Scott realizó una búsqueda en el conocido buscador de dispositivos Shodan y encontró miles de dispositivos médicos conectados a Internet. En un caso concreto, un gran hospital tenía expuestos en Internet más de 68.000 aparatos médicos. Analizándolos pudo identificar sin problemas 488 aparatos de cardiología y 133 bombas de infusión, así como vulnerabilidades específicas que se podían explotar desde el exterior.
Para ponernos los pelos de punta... No solo por la falta de privacidad de algo así, sino porque, según Erven, en algunos casos sería posible incluso modificar las cantidades de radiación, pudiendo provocar cáncer a los pacientes. Parece de una película de James Bond. Según él es posible resetear la configuración de muchos de estos aparatos o hacer que dejen de funcionar, causando graves problemas, especialmente si se está en medio de alguna emergencia.
La charla completa está en YouTube: Medical Devices: Passwords to Pwnage. Y existe un artículo en Wired especialmente interesante en el que se habla de todos estos problemas de seguridad: It’s Insanely Easy to Hack Hospital Equipment.
¡Miedito! =:-O