Durante la pasada conferencia Black Hat, una pareja de investigadores hicieron una demostración en directo de lo sencillo que puede ser apagar una bomba de insulina a distancia, o instalar malware en un marcapasos.
Jonathan Butts de QED Secure Solutions y Billy Kim Rios de Whitescope dieron a conocer nueve nuevas vulnerabilidades de seguridad dentro de dispositivos médicos, las cuales podrían causar daños e incluso la muerte de los pacientes.
Algunos fabricantes de estos dispositivos aún siguen usando Windows XP para su programación
Según la investigación de Butts y Rios, en los últimos dos años se han dedicado a buscar vulnerabilidades en dispositivos médicos debido a la poca atención de los fabricantes en este segmento. Ante esto, aseguran haber trabajado con ciertas compañías con tal de resolver los fallos, pero ante la falta de interés de algunas, han tenido que trasladar sus descubrimientos al gobierno de los Estados Unidos, a través del Departamento de Seguridad Nacional y la Administración de Alimentos (DHS) y Medicamentos (FDA).
De acuerdo a los investigadores, Medtronic es la compañía con más riesgos en sus dispositivos, ya que un atacante estaría en posición de enviar descargas a los marcapasos de algunos pacientes, o bien detener el dispositivo de forma indefinida, así como frenar las dosis de insulina en algunas bombas. Todo esto de forma remota y sin que el paciente se dé cuenta.
Butts y Rios menciona que las vulnerabilidades se encuentran en la red de Medtronic, una plataforma privada basada en la nube que sirve para instalar actualizaciones a los dispositivos, así como para programarlos. El problema de esta red es que toda la información no está cifrada, además, el software no cuenta con firma digital para validar la veracidad de, por ejemplo, una actualización para un marcapasos.
Los investigadores también mencionaron que toda la plataforma de Medtronic está programada en Windows XP. Ante esto, Butts y Rios aseguran que enviaron un informe al fabricante con el objetivo de que resolvieran estos fallos, donde incluso dieron ejemplos de cómo otras compañías, con sistemas y plataformas similares, habían mitigado los riesgos.
Según la información, la respuesta de Medtronic llegó 10 meses después: "Medtronic ha evaluado las vulnerabilidades según nuestro proceso interno, determinado que estos hallazgos no mostraron nuevos riesgos potenciales de seguridad basados en la evaluación de riesgos de seguridad del producto existente. Los riesgos están controlados y el riesgo residual es aceptable".
A las pocas semanas de esto, Butts y Rios descubrieron que Medtronic había resuelto sólo una vulnerabilidad en su nube, pero al volver a indagar en la seguridad de los dispositivos, ahora se encontraron con éstos se conectaban a servidores web HTTP usando señales de radio sin cifrar. Esto permitiría que un atacante pueda acceder de forma remota a los dispositivos para modificar sus datos y programación.
Ante este nuevo descubrimiento, Butts y Rios dieron aviso a al DHS y prepararon todo para hacer una demostración pública en la conferencia Black Hat, donde mostraron como una persona con un iPhone puede alterar la operación de un marcapasos o una bomba de insulina.
Por su parte, Medtronic asegura que "han evaluado estas inquietudes y que cuentan con sólidas defensas para defender a los pacientes". Mientras que la FDA declaró: "valoramos el importante trabajo de los investigadores de seguridad. La FDA participa con investigadores de seguridad, industria, academia y la comunidad médica en los esfuerzos continuos para garantizar la seguridad y efectividad de los dispositivos médicos que enfrentan posibles amenazas cibernéticas, en todas las etapas del ciclo de vida del dispositivo".