Casi medio millón de personas en peligro debido a una vulnerabilidad de seguridad en marcapasos 'St Jude Medical'

Casi medio millón de personas en peligro debido a una vulnerabilidad de seguridad en marcapasos 'St Jude Medical'
11 comentarios Facebook Twitter Flipboard E-mail

No, no es ciencia ficción, los dispositivos médicos se han vuelto el nuevo blanco de posibles hackeos que podrían poner el peligro la vida de una persona. En los últimos meses, cuando hemos escuchado acerca de hackeos o crackeos casi siempre se trata de ataques dirigidos a obtener información y datos, pero en el caso de los dispositivos médicos es distinto, ya que estamos hablando de atentar contra la vida humana.

Hoy aparece un nuevo caso que pone en riesgo a casi medio millón de personas usuarias de un marcapasos 'St Jude Medical' (SJM), debido a que, nuevamente, la información que transmite el dispositivos no posee ningún tipo de cifrado, lo que ha llevado a la compañía a iniciar un proceso de recall, donde la parte complicada es ¿cómo retiras del mercado casi medio millón de marcapasos implantados quirúrgicamente?

El recall más complicado de la historia

Ya hemos escuchado casos de vulnerabilidades detectadas en algunos dispositivos centrados en la salud, esto se debe principalmente a la escasa o nula atención que ponen las compañías en temas de seguridad informática, más cuando se trata de dispositivos conectados.

Hoy la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) ha emitido una alerta debido a que se han encontrado agujeros de seguridad que podrían llevar al secuestro de seis modelos de marcapasos de la marca St Jude Medical fabricados por la firma de salud Abbott. Según la compañía, esto afecta a 465.000 personas, sólo en los Estados Unidos, quienes actualmente tienen implantado uno de estos marcapasos.

Aquí estamos dispositivos cardíacos controlados vía radio, donde lo preocupante es que en los seis modelos se cuenta con el mismo firmware de control. La vulnerabilidad permite que un usuario no autorizado equipado con equipo comercial que se puede conseguir de forma sencilla, pueda reprogramar el marcapasos para agotar su batería o bien, alterar el ritmo de los latidos del paciente, algo que lo llevaría a la muerte.

St Jude Medical

Debido a que es imposible retirar del mercado los marcapasos instalados actualmente, la compañía ha publicado una actualización de firmware que parchea el agujero de seguridad y evita el secuestro del dispositivo. Lo complicado es que el usuario no puede instalar dicha actualización y por ello debe acudir con el personal médico autorizado para que éste haga el procedimiento.

Debido a la gravedad de la situación, el Departamento de Seguridad Nacional de Estados Unidos ha tenido que intervenir en este caso para ayudar a difundir la información y ser claros: "los usuarios con algún marcapasos St Jude Medical deben acudir cuanto antes a un proveedor de atención médica a actualizar sus dispositivos, ya que están en riesgo de un potencial ataque cibernético que podría poner en riesgo sus vidas".

Según Abbott, hasta el momento no se han reportado casos de accesos no autorizados a los marcapasos, e incluso han minimizado la vulnerabilidad al mencionar que "el riesgo de ataque es extremadamente bajo, ya que para que esto suceda se requiere un complejo conjunto de circunstancias".

Lo peor: no es la primera vez

Esta vulnerabilidad fue descubierta por la empresa de ciberseguridad MedSec, que se especializa en la seguridad de dispositivos médicos e industrias relacionadas con la salud. Lo preocupante de todo, es que este es el segundo fallo en seguridad que encuentran en los dispositivos SJM, algo que incluso les provocó una demanda por parte de la empresa de salud al haber revelado dicha vulnerabilidad.

Abbott adquirió SJM en enero de este 2017, y a los pocos días se tuvo que publicar e instalar una primera actualización a sus marcapasos debido a que en ciertas circunstancias se podría alterar la información de la batería de los dispositivos.

Pascemaker 680x400

Durante 2016, MedSec fue cuestionada por sus procesos poco éticos al dar a conocer fallos de seguridad en dispositivos médicos, ya que en vez de dar la voz de alerta a la compañía responsable, lo hacían en primer lugar a la firma Muddy Waters Capital, quien se beneficiaba de la compra y venta de acciones después del golpe que significaba hacer público el fallo de seguridad de la compañía en cuestión.

Después de la demanda de SJM a MedSec, Justine Bone, CEO de MedSec, justificó está práctica al mencionar que "este método poco tradicional que ha levantado críticas ha sido la única manera de estimular a que SJM tomara cartas en el asunto".

En Xataka | El hackeo no tiene límites y el nuevo blanco son las bombas de insulina

Comentarios cerrados
Inicio