Los dispositivos médicos tampoco están a salvo de las malas artes de los ciberdelincuentes. Se acaba de descubrir que algunos dispositivos médicos contienen preocupantes vulnerabilidades de seguridad.
Si anteriormente se había alertado de agujeros de seguridad en marcapasos, bombas de insulina o monitores, en esta ocasión se ha comprobado que unas populares bomba de infusión y base, B. Braun Infusomat Space Large Volumen Pump y B. Braun SpaceStation, presentan vulnerabilidades que pueden ser aprovechadas por hackers para administrar dosis dobles de medicación a las víctimas deseadas, según informa Wired.
Las bombas de infusión permiten inyectar de manera automática fluidos, medicación o nutrientes en el sistema circulatorio de los pacientes. Lo más común es que sean intravenosas, aunque también pueden ser subcutáneas, arteriales o epidurales. Son muy útiles para administrar dosis muy pequeñas sin errores, sin embargo, si tienen fallos pueden dar muchos problemas.
A finales de los 2000 el organismo ocupado de la Salud en EE.UU, la FDA, recibió más de 56.000 informes de incidentes con estas bombas. Esto hizo que en 2010 tomara serias medidas contra su seguridad. Como resultado, las bombas de gran volumen B.Brain Infusomat Space están bloqueadas a nivel de software. No obstante, los investigadores de la compañía de seguridad McAfee han descubierto como sortear esa barrera.
Los expertos hallaron cómo un atacante con acceso a la red de un centro de atención médica podía tomar el control de una SpaceStarion explotando una vulnerabilidad de conectividad común. Desde ahí es sencillo aprovechar otras cuatro brechas en secuencia para enviar el comando de duplicación de las dosis de medicación.
Los cuatro problemas se pueden combinar para crear un escenario de ataque que, según los investigadores, es realista y que sería factible de llevar a cabo para un atacante. La parte más difícil y lenta del proceso, dicen, fue la ingeniería inversa de la SpaceStation y la bomba para comprender cómo funcionan y encontrar las vulnerabilidades.
¿Un problema corregido?
La propia B.Braun ya ha alertado a los clientes del problema mediante una alerta de seguridad. "La explotación exitosa de estas vulnerabilidades podría permitir que un atacante sofisticado comprometa la seguridad de los dispositivos de comunicación Space o compactplus, permitiendo a un atacante escalar privilegios, ver información confidencial, cargar archivos arbitrarios y realizar la ejecución remota de código ". La empresa también ha reconocido que un ciberdelincuente podría cambiar la configuración de la bomba de infusión conectada y, con ello, la velocidad de las infusiones.
B.Braun también ha aclarado a Wired que las vulnerabilidades solo hacen referencia a "una pequeña cantidad de dispositivos" que usan versiones anteriores de su software. Desde McAfee discrepan y aseguran que los errores no se han corregido en los productos existentes, sino que simplemente se ha eliminado la función de redes vulnerables en la última versión de sus SpaceStations.
“Queremos asegurarnos de que las instituciones e instalaciones que realmente implementan estos dispositivos en todo el mundo se den cuenta de que se trata de un riesgo real”, comenta Povolny. “El ransomware es el ataque más probable en este momento, pero no podemos ignorar el hecho de que existen otros riesgos. Todo lo que se necesita es literalmente una vez: una figura política, un intento de asesinato y pensaremos que podríamos haber hecho el trabajo para evitarlo ", sentencia.