Algunos dispositivos médicos conectados no son lo suficientemente seguros y pueden dejar la puerta abierta a los agentes de amenazas.
Un análisis llevado a cabo en más de 200.000 bombas intravenosas conectadas a la red que se usan en hospitales y centros de atención médica ha puesto de manifiesto que el 75% de estos dispositivos contienen vulnerabilidades de seguridad que podrían ponerlos en riesgo de explotación potencial.
"Estas deficiencias incluían la exposición a una o más de unas 40 vulnerabilidades de ciberseguridad conocidas y/o alertas de que tenían unos 70 tipos de deficiencias de seguridad conocidas para dispositivos IoT", ha comentado el investigador de seguridad de Unit 42 (de Palo Alto Networks), Aveek Das, en un informe.
El equipo de inteligencia de amenazas de Palo Alto Networks asegura haber llevado a cabo el escaneo de siete fabricantes de dispositivos médicos distintos. Un 52,11% de las bombas analizadas mostraron ser susceptibles a dos vulnerabilidades que salieron a la luz en 2019. Se trata de CVE-2019-12255 (con un puntaje CVSS de 9,8) y CVE-2019-12264 (con un puntaje de 7,1).
El estudio enumera otros problemas de seguridad importantes que afectan a las bombas intravenosas, como CVE-2016-9355, CVE-2016-8375, CVE-2020-25165, CVE-2020-12040, CVE-2020-12043 y CVE-2020-12041.
Si los ciberdelincuentes logran explotar algunas de las vulnerabilidades mencionadas podrían hacerse con información confidencial relacionada con los pacientes e incluso ir más allá.
El año pasado la compañía de seguridad McAfee encontró vulnerabilidades de seguridad en algunos modelos de bombas que incluso podrían ser objeto de abuso por parte de los amigos de lo ajeno digitales para manipular las dosis medicamentos sin ninguna autenticación previa.
"Es necesario que la industria de la salud redoble los esfuerzos para protegerse contra las vulnerabilidades conocidas, mientras sigue diligentemente las mejores prácticas para las bombas de infusión y las redes hospitalarias", insiste Das.
Resultados casi iguales
El dato del 75% coincide con el de otro estudio centrado en los dispositivos médicos conectados (IoMT) realizado por la firma Cynerio en enero. Este informe, del que nos hacíamos eco en Escudo Digital, señalaba que las bombas intravenosas eran el dispositivo IoT de atención médica más común y con mayor riesgo de sufrir ataques.
El informe indicaba que suponen el 38% de los gadgets IoT de atención médica de un hospital y el 73% de los mismos contaría con una vulnerabilidad que podría poner en peligro la seguridad del paciente.