Noticias y Alertas
Header

A partir de la gran repercusión de los cuatro artículos sobre la seguridad en la salud (cantidad de lectores, consultas, republicaciones, etc.), es que hemos decidido ampliar o mejor dicho profundizar un poco más en el tema, yendo a algunas de las fuentes.

Por ejemplo la FDA (Food & Drug Administration) que es parte del U.S. Department of Health and Human Services y que más allá de no estar siempre de acuerdo con sus trabajos, debemos reconocer como un jugador muy importante no solo para los Estados Unidos sino para el mundo entero, tiene bastante que decir:

Los hackers están “continuamente” fijando como blanco los dispositivos médicos y hospitales, advirtió la FDA. Por esa razón, -consideró- los fabricantes deben mantener un alerta de forma constante y asegurarse de poder reparar las fallas encontradas en los aparatos.

“Las amenazas en ciberseguridad son reales, presentes y están cambiando continuamente”, escribió en un blog Suzanne Schwartz, directora asociada de FDA en el centro de dispositivos y medicina radiológica.

(más…)

 

 

 

 

 

 

 

Finalmente para concluir con esta serie de cuatro artículos relativos a la seguridad o inseguridad en la salud, vamos al informe detallado que apareció recientemente y que lamentablemente nos obliga a decir Hackear marcapasos es tan fácil que da miedo

Un estudio de la compañía de seguridad Whitescope ha puesto en evidencia la brutal inseguridad de la que “presumen” estos dispositivos; ninguno de los grandes fabricantes del sector se salvan.

Los investigadores analizaron marcapasos, desfibriladores, y los sistemas usados para monitorizarlos, de cuatro fabricantes; los resultados son impactantes, habiendo encontrado nada menos que 8000 vulnerabilidades diferentes en total.

(más…)

Si un atacante puede recopilar el nombre, el número de obra social, el teléfono, la dirección, el correo electrónico y otros datos personales, tendrá una oferta potencial mucho más amplia que el hecho de averiguar si un paciente se sometió o no a un procedimiento médico en particular. Un registro médico robado que contenga muchos detalles puede venderse a un muy buen precio; sin embargo, es un mercado mucho más especializado que el mercado más general de los datos personales.

(más…)

Prácticamente todos los productos de los fabricantes contaban con algún tipo de bug de seguridad; los principales culpables eran librerías de terceros usadas en el código fuente de los dispositivos, que no habían sido actualizadas a la última versión. Aunque los bugs se encuentren y se solucionen, no sirve de mucho si los fabricantes siguen reutilizando el mismo código de siempre por comodidad.

En el caso de que el firmware de los dispositivos se pueda actualizar, las contraseñas suelen venir en el propio código (una de las peores prácticas de programación); por lo que es fácil introducir firmware falso que cambie la manera en la que funciona el marcapasos.

Esas no son las únicas prácticas peligrosas; más llamativo aún es que, cuando estos marcapasos se conectan con dispositivos de monitorización, no es necesario introducir ninguna contraseña.

Así que cualquiera puede acceder al marcapasos en cuanto obtenga una conexión; de hecho, no existe ningún sistema de autenticación con los servidores de las compañías para asegurarse de que el dispositivo al que se va a conectar es genuino.

No solo eso, sino que la comunicación no está cifrada; así que es muy fácil, obtener los datos que se retransmiten desde el marcapasos hasta los sistemas de monitorización. Algunos de estos sistemas incluyen puertos USB; por los que es posible introducir malware que se ejecutará sin ningún tipo de obstáculo.

(más…)

Ahora, un nuevo estudio de Billy Rios y Jonathan Butts de la empresa Whitescope han puesto en evidencia la brutal inseguridad de la que “presumen” estos dispositivos; ninguno de los grandes fabricantes del sector se salvan. Los investigadores analizaron marcapasos, desfibriladores, y los sistemas usados para monitorizarlos, de cuatro fabricantes y los resultados fueron impactantes….

(más…)

El IoT (Internet of Things) o Internet de las cosas empieza a ser furor, pero en medicina (en su época sin Internet) la electrónica hace décadas que está de parabienes, si bien los temas inherentes a la seguridad no fueron prioridad ya que el foco era y es “ayudar” en el área de salud.

En los próximos cuatro artículos incursionaremos en estos apasionantes terrenos, espero que sean de interés!

En 2012, el hacker Barnaby Jack ya había anunciado que podía tomar control de los marcapasos, y murió repentinamente en San Francisco llevádose el secreto a la tumba. Barnaby tenía planeado presentarse en la convención Black Hat una semana después, donde contaría cómo acceder a estos implantes.

(más…)

Original release date: May 12, 2017 | Last revised: May 15, 2017

Systems Affected

Microsoft Windows operating systems

Overview

According to numerous open-source reports, a widespread ransomware campaign is affecting various organizations with reports of tens of thousands of infections in as many as 74 countries, including the United States, United Kingdom, Spain, Russia, Taiwan, France, and Japan. The software can run in as many as 27 different languages.

The latest version of this ransomware variant, known as WannaCry, WCry, or Wanna Decryptor, was discovered the morning of May 12, 2017, by an independent security researcher and has spread rapidly over several hours, with initial reports beginning around 4:00 AM EDT, May 12, 2017. Open-source reporting indicates a requested ransom of .1781 bitcoins, roughly $300 U.S.

This Alert is the result of efforts between the Department of Homeland Security (DHS) National Cybersecurity and Communications Integration Center (NCCIC) and the Federal Bureau of Investigation (FBI) to highlight known cyber threats. DHS and the FBI continue to pursue related information of threats to federal, state, and local government systems and as such, further releases of technical information may be forthcoming. (más…)

Un excelente artículo de tiempo atrás redactado por Bruce Schneier

Over the past year or two, someone has been probing the defenses of the companies that run critical pieces of the Internet. These probes take the form of precisely calibrated attacks designed to determine exactly how well these companies can defend themselves, and what would be required to take them down. We don’t know who is doing this, but it feels like a large nation state. China or Russia would be my first guesses.

First, a little background. If you want to take a network off the Internet, the easiest way to do it is with a distributed denial-of-service attack (DDoS). Like the name says, this is an attack designed to prevent legitimate users from getting to the site. There are subtleties, but basically it means blasting so much data at the site that it’s overwhelmed. These attacks are not new: hackers do this to sites they don’t like, and criminals have done it as a method of extortion. There is an entire industry, with an arsenal of technologies, devoted to DDoS defense. But largely it’s a matter of bandwidth. If the attacker has a bigger fire hose of data than the defender has, the attacker wins. (más…)