Un análisis llevado a cabo en bombas de infusión médica ha revelado que los dispositivos de este tipo que se ponen a la venta en el mercado secundario aun albergan configuraciones WiFi de aquellas organizaciones que los habían usado originalmente.
El hallazgo ha sido realizado por la firma de ciberseguridad Rapid7. Esta analizó 13 dispositivos, descubriendo que esa información no se había eliminado antes de la desactivación.
Así, los terceros que compran dichos dispositivos en plataformas como eBay, podrían acceder a esos datos fácilmente.
Los investigadores probaron a extraer datos confidenciales de las tarjetas flash compactas de los equipos, observando la comunicación en serie y eliminando los chips de memoria flash de las placas de circuitos principales.
Rapid7 evaluó tres modelos distintos de bombas de infusión: Alaris PC 8015, Baxter Sigma Spectrum modelo 35700BAX2 y el módulo de batería inalámbrico (WBM) asociado, y Hospira Abbott PLUM A+ con MedNet.
Usando uno de ellos los investigadores pudieron acceder a nombres de host con información de dominio, claves AES para el cifrado, identificadores de conjuntos de servicios (SSID), la frase de contraseña de claves precompartidas Wi-Fi (PSK), credenciales para la autenticación de Microsoft Active Directory y ajustes de configuración de la red Wi-Fi.
Son ampliamente usados
Estos equipos ya no se fabrican, pero se siguen utilizando en muchas organizaciones médicas de todo el mundo, según informa Security Week. Esto representa un riesgo potencial para la seguridad si los datos que contienen no se borran correctamente antes de retirarlos.
Para extraer los datos de estos dispositivos se puede utilizar un equipo que tiene un rango de precios de entre 250 a 1.500 dólares, lo que lo hace asequible para una amplia gama de actores de amenazas.
“El descubrimiento de estos datos sobre dispositivos médicos desadquiridos que se venden en el mercado secundario señala un problema sistémico grave. La única forma de resolver este problema de manera efectiva es que las organizaciones que aprovechan las tecnologías médicas desarrollen políticas y procesos sobre cómo manejar adecuadamente la adquisición y la cesión de tecnología médica”, comentan desde Rapid7.