Seguridad en el sector sanitario. Parte II
¡Hola de nuevo! ¿Qué tal? Hoy os traigo un artículo en el que voy a continuar explicando la investigación que llevé a cabo sobre los principales agujeros de seguridad en medicina, concretamente, en los sistemas IoT empleados en el sector médico.
En la primera parte (si no la has leído, puedes hacerlo pinchando aquí), os hablé acerca de cómo un ciberatacante puede acceder a imágenes radiológicas y modificarlas a su antojo con múltiples propósitos. En este segundo post me centro en el caso de los marcapasos, bombas de insulina y otros dispositivos. ¡Empezamos!
¿Qué es un marcapasos?
Se trata de un pequeño aparato que se implanta bajo la piel y que, gracias a una serie de impulsos eléctricos, ayuda al corazón a mantener un ritmo de latidos constante y adecuado.
¿De qué está compuesto?
Un marcapasos contiene un generador de impulsos eléctricos con uno o dos cables y sus correspondientes electrodos. Dentro de este hay un chip que es el encargado de percibir el ritmo de los latidos y enviar impulsos artificiales, si fuera necesario, para mantener el ritmo cardíaco normal.
Los marcapasos deben ser revisados y su firmware actualizado para su mejora, y así poder evitar ataques por vulnerabilidades existentes.
A continuación, os muestro el flujo de un marcapasos, donde se puede comprobar que pueden darse dos escenarios:
En el primeo de ellos aparece un paciente con marcapasos en su propia casa. Dicho dispositivo está conectado de manera inalámbrica a un sistema de monitorización y de aquí puede conectarse o enviar datos a una red de apoyo de paciente.
En el segundo caso, es en la consulta médica donde se revisa dicho marcapasos para poder modificar parámetros que beneficien al paciente y ver su funcionamiento, a través de radiofrecuencia y un receptor de datos, con el software necesario implementado (programador físico).
Esta arquitectura puede comprometer la disponibilidad, confidencialidad e integridad de los datos, pero ¿puede un hacker matar a alguien a distancia si hackea su dispositivo y accede a esta información?
En el caso de que una persona necesite recibir una descarga y el marcapasos no se la dé porque alguien lo está controlando por su cuenta, la respuesta sería sí. Igual en el caso contrario, es decir, que un paciente reciba descargas que aceleran su ritmo cardíaco porque alguien tiene el control del aparato.
A raíz de fallos en marcapasos en laboratorios tan importantes como ABBOT y MEDTRONIC, se han realizado estudios de fallos de seguridad en dichos dispositivos. De hecho, los medios de comunicación se hicieron eco de estos fallos.
¿Cuáles son los principales fallos de seguridad detectados en estos dispositivos?
-
Se consiguió obtener subsistemas de los 4 mayores proveedores mediante páginas públicas de subastas. En el siguiente cuadro aparecen los productos adquiridos en sitios como eBay, tanto para dispositivos de monitorización como para programadores físicos:
-
Microprocesadores comerciales listos para usar. Aunque no sea una vulnerabilidad en sí, ayuda a los usuarios malintencionados a realizar procesos de ingeniería inversa. En los circuitos integrados se pueden encontrar, por ejemplo, señales o códigos de control. Estos últimos proporcionan términos consultables cuando se desensambla el firmware y hace posible encontrar componentes de hardware específicos, como la memoria flash. Por tanto, un usuario malintencionado podría acceder e identificar funciones críticas asociadas al sistema.
-
Los dispositivos embebidos suelen incorporar interfaces para proporcionar depuración en el circuito. Destinado a las pruebas funcionales, se utilizan interfaces para adquirir firmware, seguir instrucciones, leer secciones de memoria, capturar y restaurar segmentos de memoria, así como alterar los valores de registro. En este sentido, un atacante tiene el potencial de adquirir firmware del subsistema y pausar y redirigir el flujo de instrucciones.
-
A la hora de configurar parámetros, un atacante podría ganar acceso con privilegios a cada uno de los terminales a través de una consola.
-
Los símbolos de depuración y comentarios en el código fuente pueden revelar la funcionalidad del sistema.
-
Uso de librerías de terceros que pueden incluir vulnerabilidades que no suelen ser parcheadas o que están obsoletas, por lo que esto podría suponer otra puerta de entrada para el usuario externo.
-
Los dispositivos de monitorización incluyen conexiones USB externas y un atacante tiene la opción de atravesar el sistema de archivos o introducir software malicioso.
-
El sistema de credenciales de varios proveedores viene sin codificar, por lo que un atacante tiene el potencial de usar la directiva de credenciales para autenticarse a la red de apoyo y obtener las comunicaciones entre un dispositivo y otro. Además, hay datos de pacientes en los discos duros sin cifrar. Tal y como se puede observar en el siguiente cuadro, las comunicaciones iban por “FTP”:
-
Los programadores médicos utilizan circuitos de radio incorporados para transmitir señales y programar el dispositivo cardíaco. El análisis revela que se utiliza lo mismo para los sistemas de monitorización. Como resultado, se puede aprovechar el dispositivo de monitorización para realizar las mismas funciones de programación que el programador médico.
-
El análisis muestra que los dispositivos cardíacos implantables carecen de la implementación de lista blanca de comandos. Por tanto, un atacante podría falsificar programación de comandos para este dispositivo utilizando hardware personalizado.
-
Se identifican tokens de autenticación permanentes que permiten el emparejamiento de cualquiera con un dispositivo cardíaco implantable. Y si no se implementan otros controles de seguridad, un usuario externo puede tener la posibilidad de usar el token de autenticación universal para falsificar una sesión con cualquier implante cardiaco.
Otros dispositivos
Al igual que con los marcapasos, esto también ocurre con las BOMBAS DE INSULINA, dado que estas funcionan con mando para realizar su programación y las comunicaciones vienen sin cifrar.
Por otro lado, tenemos las pulseras de actividad física y los relojes inteligentes. Tan solo en 2016 se vendieron unos 50 millones de smart watches y 35 millones de pulseras deportivas en todo el mundo. La clave de ello reside en que el negocio no es el reloj, sino nuestra salud. Apple, Samsung, Huawei, Xiaomi, etc. encuentran en farmacéuticas y aseguradoras grandes clientes.
Sin embargo, estos dispositivos también son susceptibles de ser objeto de ciberataques. ¿Y qué podría llegar a hacer un ciberatacante de tener acceso? Pues, por ejemplo, podría aumentar o disminuir el seguro según el conocimiento de estos datos.
Y, para terminar, no me gustaría irme sin antes lanzar varias preguntas: ¿crees que la salud gratuita debería ser un derecho para todo el mundo, sea cual sea su estilo de vida? Aunque fumadores y bebedores ya pagan impuestos con cada cajetilla o cada botella, ¿habría que penalizarlos aún más para que contribuyan a sostener el sistema? Y, por último: