Noticias y Alertas
Header

No se trata sólo de ciertos dispositivos médicos conectados que ponen en peligro los datos de los pacientes y la seguridad física, sino de sus capacidades y sistemas específicos dentro de los cuales operan, lo que los convierte en una superficie de ataque amplia y vulnerable.

De hecho, la palabra de los expertos de seguridad durante la mayor parte de la década pasada (y desde luego que los dispositivos cada vez más se han conectado a Internet) ha sido que mientras la seguridad física de la mayoría es excelente y los dispositivos funcionan sin problemas, cuando se trata de seguridad de ataques maliciosos en línea, estos dispositivos son aterradoramente inseguros.

(más…)

En la era del IoT, el sector de la medicina no se queda atrás. Dentro de esa ingente cantidad de dispositivos conectados a Internet, muchos serán también dispositivos facultativos para el control rutinario y para monitorizar el ejercicio de los pacientes. Es decir, gadgets repletos de datos confidenciales, ya sea información relativa a la identidad del paciente, información médica o información financiera para la facturación.

Además de la importancia de los datos, un ataque a un dispositivo médico, como una bomba de insulina o un marcapasos con posibilidad de conexión a otros dispositivos, podría permitir que los delincuentes hicieran una serie de cambios a las medidas prescritas, lo que podría causar problemas médicos graves (o incluso mortales, según las investigaciones realizadas durante los últimos años al respecto).

(más…)

Tal como mencionamos en un artículo previo, Suzanne B. Schwartz, M.D., M.B.A. (FDA’s Associate Director for Science and Strategic Partnerships, at the Center for Devices and Radiological Health), comenta en el Blog:

La protección de los dispositivos médicos contra amenazas cambiantes de ciberseguridad requiere un enfoque de ciclo de vida completo que comienza con el desarrollo temprano del producto y se extiende a lo largo de toda la vida útil del producto.

(más…)

A partir de la gran repercusión de los cuatro artículos sobre la seguridad en la salud (cantidad de lectores, consultas, republicaciones, etc.), es que hemos decidido ampliar o mejor dicho profundizar un poco más en el tema, yendo a algunas de las fuentes.

Por ejemplo la FDA (Food & Drug Administration) que es parte del U.S. Department of Health and Human Services y que más allá de no estar siempre de acuerdo con sus trabajos, debemos reconocer como un jugador muy importante no solo para los Estados Unidos sino para el mundo entero, tiene bastante que decir:

Los hackers están “continuamente” fijando como blanco los dispositivos médicos y hospitales, advirtió la FDA. Por esa razón, -consideró- los fabricantes deben mantener un alerta de forma constante y asegurarse de poder reparar las fallas encontradas en los aparatos.

“Las amenazas en ciberseguridad son reales, presentes y están cambiando continuamente”, escribió en un blog Suzanne Schwartz, directora asociada de FDA en el centro de dispositivos y medicina radiológica.

(más…)

 

 

 

 

 

 

 

Finalmente para concluir con esta serie de cuatro artículos relativos a la seguridad o inseguridad en la salud, vamos al informe detallado que apareció recientemente y que lamentablemente nos obliga a decir Hackear marcapasos es tan fácil que da miedo

Un estudio de la compañía de seguridad Whitescope ha puesto en evidencia la brutal inseguridad de la que “presumen” estos dispositivos; ninguno de los grandes fabricantes del sector se salvan.

Los investigadores analizaron marcapasos, desfibriladores, y los sistemas usados para monitorizarlos, de cuatro fabricantes; los resultados son impactantes, habiendo encontrado nada menos que 8000 vulnerabilidades diferentes en total.

(más…)

Si un atacante puede recopilar el nombre, el número de obra social, el teléfono, la dirección, el correo electrónico y otros datos personales, tendrá una oferta potencial mucho más amplia que el hecho de averiguar si un paciente se sometió o no a un procedimiento médico en particular. Un registro médico robado que contenga muchos detalles puede venderse a un muy buen precio; sin embargo, es un mercado mucho más especializado que el mercado más general de los datos personales.

(más…)

Prácticamente todos los productos de los fabricantes contaban con algún tipo de bug de seguridad; los principales culpables eran librerías de terceros usadas en el código fuente de los dispositivos, que no habían sido actualizadas a la última versión. Aunque los bugs se encuentren y se solucionen, no sirve de mucho si los fabricantes siguen reutilizando el mismo código de siempre por comodidad.

En el caso de que el firmware de los dispositivos se pueda actualizar, las contraseñas suelen venir en el propio código (una de las peores prácticas de programación); por lo que es fácil introducir firmware falso que cambie la manera en la que funciona el marcapasos.

Esas no son las únicas prácticas peligrosas; más llamativo aún es que, cuando estos marcapasos se conectan con dispositivos de monitorización, no es necesario introducir ninguna contraseña.

Así que cualquiera puede acceder al marcapasos en cuanto obtenga una conexión; de hecho, no existe ningún sistema de autenticación con los servidores de las compañías para asegurarse de que el dispositivo al que se va a conectar es genuino.

No solo eso, sino que la comunicación no está cifrada; así que es muy fácil, obtener los datos que se retransmiten desde el marcapasos hasta los sistemas de monitorización. Algunos de estos sistemas incluyen puertos USB; por los que es posible introducir malware que se ejecutará sin ningún tipo de obstáculo.

(más…)

Ahora, un nuevo estudio de Billy Rios y Jonathan Butts de la empresa Whitescope han puesto en evidencia la brutal inseguridad de la que “presumen” estos dispositivos; ninguno de los grandes fabricantes del sector se salvan. Los investigadores analizaron marcapasos, desfibriladores, y los sistemas usados para monitorizarlos, de cuatro fabricantes y los resultados fueron impactantes….

(más…)

El IoT (Internet of Things) o Internet de las cosas empieza a ser furor, pero en medicina (en su época sin Internet) la electrónica hace décadas que está de parabienes, si bien los temas inherentes a la seguridad no fueron prioridad ya que el foco era y es “ayudar” en el área de salud.

En los próximos cuatro artículos incursionaremos en estos apasionantes terrenos, espero que sean de interés!

En 2012, el hacker Barnaby Jack ya había anunciado que podía tomar control de los marcapasos, y murió repentinamente en San Francisco llevádose el secreto a la tumba. Barnaby tenía planeado presentarse en la convención Black Hat una semana después, donde contaría cómo acceder a estos implantes.

(más…)

El pasado 27 de junio salió a la luz una noticia relacionada con el campo de la medicina y la ciberseguridad. Al pensar en ciberseguridad, lo primero que nos viene a la cabeza son ataques de tipo ransomware a hospitales. Generalmente mediante correos electrónicos con archivos adjuntos, los creadores de este tipo de malware pretenden bloquear la máquina infectada y encriptar sus archivos, quitando así el control de la información y los datos a sus usuarios.

No obstante, no son las únicas amenazas a las que se ven enfrentados los hospitales a día de hoy. Cada vez más, el secuestro de dispositivos médicos se está convirtiendo en un peligro real, como en el caso “Medjack 2”. (más…)