Proteger los sistemas de salud de los hackers 1

En 2012, un episodio de la serie Homeland describía un ataque informático contra un marcapasos inalámbrico. En cuanto el ex vicepresidente Dick Cheney lo vio, pidió que desactivasen todas las funciones inalámbricas de su propio dispositivo. Pero a día de hoy, además de los riesgos de ciberseguridad asociados a productos personales, las nuevas modalidades de amenazas obligan a replantearse la seguridad en el sector de la salud.

Las precauciones tomadas por Cheney no parecen excesivas si se tiene en cuenta que el año pasado la Administración de Alimentos y Medicamentos estadounidense (FDA) solicitó que se revisasen casi medio millón de marcapasos conectados a Internet, al considerarlos “vulnerables”. En lugar de retirarlos, que hubiese sido complejo e invasivo, los fabricantes pusieron a disposición de los usuarios una actualización del firmware que tapaba los exploits que los hackers podrían haber utilizado, y que los pacientes debían descargar.

El problema es que los dispositivos y equipos institucionales, usados en clínicas y hospitales, a menudo son demasiado viejos para parchearlos, lo que hace que sean particularmente vulnerables. Además, en ocasiones puede llevar seis o siete años desarrollar un dispositivo desde la fase de diseño hasta la de comercialización. Así que, incluso si los hospitales reemplazaran todos sus dispositivos por modelos actuales, los productos listos para salir este año no cumplirían exactamente las mejores prácticas en ciberseguridad.

Muchos de los equipos médicos en los hospitales, clínicas y consultorios médicos de todo el mundo han estado en servicio durante años, a veces décadas. Si los equipos conectados a Internet, como las máquinas de resonancia magnética o las bombas de infusión, todavía son operativos, los hospitales no ven razones para sustituirlos, ya que se basan en motivos médicos y presupuestarios.

El ejemplo de WannaCry

WannaCry, por ejemplo, fue utilizado para infiltrarse en centros médicos de todo el mundo, así como en algunas universidades y empresas de telecomunicaciones, interrumpiendo temporalmente sus redes. Ransomware de este tipo actúa cifrando todo en el disco duro de un ordenador; de manera que, con el contenido bloqueado tras una contraseña, los atacantes pueden exigir a las víctimas un pago a cambio de no destruir permanentemente sus archivos.

El temor ahora es que, más allá de congelar los sistemas o secuestrar los registros médicos como ocurrió durante WannaCry, los hackers también puedan manipular equipo médico para dañar a los pacientes. Por ejemplo, administrando una dosis letal de medicamentos a través de las bombas de infusión con las que se hidrata a los pacientes.

Reforzar las defensas

Aunque los dispositivos más modernos tampoco sean completamente seguros, suelen estar diseñados con características de seguridad más robustas. Por eso, los expertos en seguridad están instando a los proveedores de servicios de salud a desechar los equipos antiguos o heredados y a reemplazarlos con modelos más nuevos. En EE UU, por ejemplo, un Grupo de Trabajo de Ciberseguridad de la Industria de la Salud, convocado en 2016 por el Departamento de Salud y Servicios Humanos, abogó por la creación de un programa de incentivos similar a los Planes Renove que los gobiernos suelen promover con la sustitución de vehículos.

Una segunda sugerencia de implementación más inmediata fue exigir a los fabricantes de dispositivos que proporcionen una “lista de materiales de software”, que describa todos los elementos utilizados en su fabricación. Así, si un ciberataque a gran escala se dirigiera contra uno o más programas, al menos los hospitales serían conscientes de qué máquinas son vulnerables y se podría tomar medidas para limitar cualquier daño.

En la misma línea, un informe similar emitido por el Grupo de Expertos de la Unión Europea aboga además por la instauración un modelo de innovación disruptiva, que incluya nuevos sistemas y servicios más accesibles, así como a la eliminación de sistemas antiguos y la mejor formación del personal sanitario en este sentido.

 

Fuente : Panda
X