El año 2016 comenzó con muchos incidentes de seguridad que afectaron a hospitales y equipos médicos. En sólo dos meses se vio un ataque de ransomware a un hospital de Los Ángeles y dos de Alemania, una intrusión de investigadores al monitor y dosificador de medicinas de un paciente, y un ataque a un hospital de Melbourne, entre otros casos. Esta debería ser una preocupación prioritaria para la industria de seguridad.
Los ataques no nos tomaron por sorpresa. La industria del Internet de las cosas está en aumento y, por supuesto, la seguridad de la industria de los dispositivos médicos es una de las más inquietudes provoca. Los dispositivos médicos modernos son computadoras completas, que incluyen un sistema operativo y una serie de aplicaciones; la mayoría tiene un canal de comunicaciones a Internet, redes externas y diferentes tipos de servidores en la nube. Están llenos de tecnologías de última generación que tienen un solo fin: ayudar a los doctores a tratar a sus pacientes con la mejor calidad posible. Pero, igual que todos los sistemas industriales, los dispositivos médicos están construidos con un enfoque en estas tecnologías- es decir, para ayudar en el desarrollo de las ciencias médicas, dejando la seguridad informática en segundo o hasta tercer plano. Esto es alarmante. Las vulnerabilidades en el diseño de los programas, las autorizaciones inseguras, los canales de comunicación sin cifrar y las fallas críticas en el software abren paso a que se comprometan estos sistemas.
El acceso no autorizado a estos dispositivos podría tener efectos muy graves: no sólo pone los datos personales al alcance de los ladrones virtuales, también podría afectar en forma directa la salud y hasta las vidas de los pacientes. A veces asusta lo fácil que es irrumpir en los sistemas de un hospital, robar la información personal de un dispositivo médico o acceder a él para irrumpir en el sistema de archivos, interfaz del usuario, etc. Imagina una situación, un verdadero ataque dirigido, en la que los cibercriminales que tengan acceso total a la infraestructura médica de un centro de salud puedan manipular los resultados de los sistemas de diagnosis o tratamiento. En muchos casos los doctores dependen mucho de estos sistemas médicos, por lo que su manipulación podría causar tratamientos erróneos en un paciente, lo que empeoraría su condición médica.
En la investigación que presenté en el foro Kaspersky Security Analysts Summit, demostré con un ejemplo lo fácil que es encontrar un hospital, conseguir acceso a sus redes internas y tomar el control de un aparato de resonancias magnéticas para acceder al sistema de ficheros del dispositivo y conseguir los datos personales de sus pacientes y la información sobre sus tratamientos. El problema supera la inseguridad de los equipos médicos – toda la infraestructura informática de los hospitales modernos tiene problemas de organización y protección, y esta situación es de alcance mundial.
Veamos cómo realizan sus ataques los cibercriminales. Resalté tres de las principales fallas que veo en la protección de los centros de salud:
Primera falla: el acceso a Internet con poca o ninguna autorización.
Existen varias formas de detectar vulnerabilidades en los equipos; por ejemplo, usando el motor de búsqueda Shodan. Si se utiliza bien esta herramienta, se pueden encontrar miles de dispositivos médicos expuestos en Internet: es así como un hacker puede descubrir escáneres de resonancia magnética, equipos de cardiología y aparatos de radiología conectados a la red. Muchos de estos dispositivos siguen operando con Windows XP y tienen decenas de vulnerabilidades viejas sin parchar que podrían comprometer por completo un sistema remoto. Es más, algunos aparatos todavía usan las contraseñas predeterminadas de fábrica, que son fáciles de encontrar en manuales publicados en la red.
Resultados de búsqueda de Shodan
Cuando realicé mi investigación, hice pruebas de intrusión en un hospital y descubrí algunos dispositivos conectados a Internet, pero estaban bien protegidos: no tenían contraseñas predeterminadas, vulnerabilidades en sus interfaces de control web, etc. Pero que el hospital esté protegido desde Internet no significa que un cibercriminal no pueda encontrar otros métodos para irrumpir en los equipos si se lo ha propuesto.
Lo que nos lleva a la segunda falla: los dispositivos no están protegidos del acceso desde redes locales.
En mi caso, sólo tuve que manejar hasta el hospital para descubrir varios puntos de acceso Wi-Fi del hospital. Uno de ellos tenía una contraseña débil que pude crackear en dos horas. Con ella logré entrar a la red interna del hospital y encontré los mismos equipos médicos que había descubierto en Internet, pero con una gran diferencia: ahora sí podía conectarme a ellos porque la red local era de confianza. Los fabricantes de dispositivos médicos, cuando crean un sistema completo, los protegen del acceso interno. Pero por alguna razón creyeron que cualquiera que trate de acceder a ellos desde dentro es de confianza. Este es un gran error: no hay depositar toda la confianza en los administradores del sistema y en su forma de organizar la protección interna de las redes de un hospital.
Así llegamos a la tercera falla: las vulnerabilidades en la arquitectura de los programas.
Cuando logré conectarme al dispositivo y pasar la pantalla de inicio de sesión predeterminada, tuve acceso inmediato a la interfaz de control y a los datos personales y de diagnóstico de los pacientes del hospital. Pero lo que me llamó la atención fue otra cosa. Había un shell de comandos integrado en la interfaz del usuario que me daba acceso al sistema de archivos del dispositivo.
Resultado del estudio de resonancia magnética de un paciente
En mi opinión, esta es una vulnerabilidad grave en el diseño de una aplicación. Aunque no se tenga acceso remoto, ¿por qué quisieron los ingenieros tomar esta oportunidad para darle a la interfaz del doctor acceso a la shell de comandos? Esta, sin duda, no debería ser una característica predeterminada. A esto me refería antes. Puede que una parte esté muy bien protegida, pero otra tenga grandes fallas; quien tenga la intención de atacar va a descubrir estas debilidades para comprometer el dispositivo.
Otro factor que influye en las vulnerabilidades de las aplicaciones son las versiones obsoletas de sistemas operativos y las dificultades de la gestión de parches. Este es un ambiente muy diferente al de la estructura informática estándar de PCs o dispositivos móviles; no se puede instalar un parche en un dispositivo médico con la misma facilidad. Es un proceso manual complejo y, en muchos casos, se necesita a un ingeniero calificado en el hospital que ayude a actualizar el sistema y evaluar que los dispositivos estén funcionando como es debido después de la actualización. Eso consume tiempo y dinero, por lo que es esencial crear un sistema bien protegido desde el principio – en la etapa de desarrollo – que tenga aplicaciones con la menor cantidad de vulnerabilidades posible.
Los vendedores de equipos médicos e informáticos de los hospitales deben prestar mucha atención a su seguridad informática, ya que se encuentran en la lista de los objetivos más valiosos para el mundo cibercriminal. Estamos por ver un aumento en los ataques a centros médicos en este año, que incluyen ataques dirigidos, infecciones de programas chantajistas, ataques distribuidos de negación de servicio y hasta aquellos que hacen daño físico a los dispositivos médicos. Por último, la industria ha comenzado a prestar más atención a este problema. Por ejemplo, en Estados Unidos, la Administración de Alimentos y Medicamentos (FDA) ha publicado una guía para los fabricantes de dispositivos médicos que les indica los pasos a seguir para evadir los riesgos de seguridad informática y proteger así a sus pacientes y la salud pública.
Yo también quisiera dar algunas recomendaciones al personal informático de los hospitales:
- Tengan en cuenta que los cibercriminales están atacando a los hospitales con cada vez mayor frecuencia; lean sobre estos incidentes y fíjense si podrían usarse esos mismos métodos para comprometer sus propias infraestructuras.
- Aférrense lo más posible a las políticas de seguridad informática y desarrollen estrategias para evaluar vulnerabilidades y administrar parches a tiempo.
- No se concentren sólo en proteger su infraestructura de los ataques externos de malware y hackers; también es necesario mantener un control estricto de las actividades internas de su red local: es primordial saber quién tiene acceso a qué, y otros detalles que podrían afectar los sistemas locales.
Los hospitales están bajo ataque en 2016