ATENCIÓN: este contenido tiene más de 2 años de antigüedad y, debido a su temática, podría contener información desactualizada o inexacta en la actualidad.
Más allá de la broma de mal gusto del título... esto es un tema grave. La FDA americana (la agencia responsable de los productos médicos en EEUU) ha descubierto que los marcapasos de St. Jude Medical (parte de la multinacional laboratorios Abbott) pueden ser hackeados para controlar el ritmo cardíaco de quién los lleva, o incluso para dejarlos sin batería y que dejen de funcionar.
La FDA no da detalles de la vulnerabilidad en el informe, pero sí que dice que cualquier dispositivo conectado mediante Wifi u otra tecnología inalámbrica (RF en este caso) es susceptible de ser hackeado, y en el caso de algo tan sensible como un marcapasos puede ser algo fatal. Dicen que solo se necesitan herramientas "disponibles comercialmente" (es decir, al alcance de cualquiera) para poder hackearlos, por lo que la cosa debe de ser grave.
La FDA estima que hay casi medio millón de pacientes con este tipo de marcapasos implantado, todos los cuales deben ir cuanto antes a su médico para que les actualicen el firmware. Por desgracia no puede ser aplicado en casa, sino que deben ir a un centro médico para que se lo hagan. Algo que solo lleva unos 3 minutos al parecer. Según indican, la actualización puede que haga que se pierdan los ajustes personalizados, algo que en un dispositivo como este es algo muy grave ya por sí mismo. Los ajustes para algunos pacientes pueden llevar meses de retoques sobre la configuración inicial, dependiendo de su edad, su ritmo de vida y sus necesidades particulares.
Esta no es la primera vez que pasa algo similar con otros aparatos médicos delicados. Abbott tiene también otros marcapasos implantables que sufrieron similares problemas hace unos meses. Pero hay muchos otros dispositivos médicos que llevan conectividad inalámbrica o Bluetooth (por ejemplo, las bombas de insulina para diabéticos o dosificadores de medicamentos que van implantados) que podrían ser susceptibles de ser atacados. Incluso los más sencillos que trabajan con radiofrecuencia o con campos de proximidad, pueden ser hackeados, aunque tendrías que estar muy cerca para hacerlo. Ya en el año 2008 un grupo de investigadores de la Universidad de Michigan demostraron cómo era posible extraer información delicada de estos dispositivos, y cómo modificarlos para que cambien la programación de los latidos. Un hacker en 2013 descubrió cómo controlarlos a 15 metros de distancia 😱, y unos días antes de presentar su investigación en el Blackhat de 2013 murió de una aparente sobredosis.
Existen diversas iniciativas para lograr que los fabricantes de este tipo de dispositivos tan críticos liberen el software que los gobierna, de modo que los investigadores de seguridad puedan estudiarlos y descubrir los posibles problemas de forma abierta, y no esperar a que algún día pase una desgracia grande. Pero las empresas se resisten. Lo que es seguro es que la seguridad por "oscuridad" nunca ha sido una buena idea, y es por eso que todos los algoritmos serios de seguridad y criptografía se desarrollan en abierto, de modo que todo el mundo pueda ver cómo están hechos y descubrir posibles problemas antes de que ocurran.
Ya hemos dicho en muchas ocasiones que la ubicuidad de dispositivos conectados tiene muchos puntos interesantes, sobre todo en lo que respecta a la comodidad de los usuarios y la toma de datos remotos, pero al mismo tiempo nos vuelve mucho más vulnerables porque todo dispositivo conectado, tarde o temprano, es posible que acabe siendo vulnerado.
Y tú ¿te implantarías un dispositivo médico delicado que tuviese conectividad con el exterior? 🤔.
Fecha de publicación: