Un diagnóstico TI a la medicina “conectada”

Los datos médicos están migrando, de una forma lenta pero segura, del papel a la infraestructura digital de las instituciones de salud. Hoy en día están “dispersos” en bases de datos, portales, equipos médicos, etc. En algunos casos, la seguridad de la infraestructura de red de tales organizaciones está desatendida y los recursos que procesan información médica están disponibles desde el exterior.

Los resultados obtenidos durante la investigación que describimos en un artículo anterior nos llevaron a hacer un análisis más detallado del problema de la seguridad informática, pero esta vez desde dentro de las instituciones médicas (por supuesto, con el permiso de sus propietarios) para poder corregir errores y dar una serie de recomendaciones a los profesionales en seguridad informática que atienden la infraestructura médica.

Un diagnóstico incorrecto es el primer paso hacia la muerte

La seguridad de los datos en la medicina es un problema mucho más serio de lo que puede parecer a primera vista. El escenario más obvio —su hurto y reventa en el mercado negro— no es tan aterrador como la posibilidad de que los hackers manipulen los datos de diagnóstico. Independientemente de los objetivos perseguidos por los delincuentes (extorsionar a los propietarios de la clínica o lanzar ataques a pacientes específicos), a los pacientes no les espera nada bueno: si los doctores reciben datos erróneos, pueden asignar un tratamiento equivocado. Incluso si la falsificación de datos se detecta a tiempo, el funcionamiento normal de las instalaciones puede verse suspendida debido a la necesidad de volver a comprobar toda la información almacenada en el hardware comprometido.

Según un informe de los Centros para el Control y Prevención de Enfermedades (CDC), los errores médicos ocupan el tercer puesto en la lista de causas de muerte en los Estados Unidos. Aparte de la cualificación del médico, un buen diagnóstico depende también de que los datos provenientes de los dispositivos médicos y almacenados en los servidores médicos sean correctos. Esto significa que estos recursos de la “medicina conectada a red” son de gran interés para los hackers.

¿Qué es la “medicina conectada”?

Este término se refiere al conjunto de estaciones de trabajo, servidores y equipos médicos especializados que están conectados a la red de un centro médico (un modelo simplificado se muestra en el dibujo de abajo).


Topología de red de la “medicina conectada”

Los dispositivos de diagnóstico modernos pueden conectarse a la red de área local de la institución, o pueden estar conectados a estaciones de trabajo de otras formas, por ejemplo, mediante una conexión USB. Muy a menudo los aparatos médicos procesan los datos (por ejemplo, las imágenes del paciente) en el formato DICOM, que es el estándar de la industria para imágenes y documentos. Para almacenarlos y accederlos desde el exterior, se utilizan los sistemas PACS (Picture Archiving and Communication System), que también puede representar interés para el atacante.

Recomendación №1: poner todos los nodos que procesan datos médicos fuera del acceso público

Es obvio que la información médica debe permanecer exclusivamente dentro de la red local de la institución. Sin embargo, hasta la fecha, más de mil dispositivos DICOM son accesibles al público, como lo muestran las estadísticas del motor de búsqueda Shodan.


Distribución geográfica de los dispositivos DICOM (datos tomados del servicio de búsqueda de Shodan)

Por lo general, están abiertos al público todo tipo de servidores PACS que almacenan información valiosa (para el intruso). Es necesario colocar los sistemas PACS dentro del perímetro corporativo, aislarlos del uso no autorizado por parte de terceros y realizar copias de seguridad periódicas de su contenido.

Recomendación №2: dar nombres no obvios a los recursos

Ya durante el proceso de reconocimiento y exploración el atacante puede obtener datos de importancia crítica para el ataque. Por ejemplo, durante la enumeración de los recursos disponibles, puede averiguar los nombres de los recursos internos (servidores y estaciones de trabajo) y determinar qué nodos de la red representan interés y cuáles no.


Datos sobre los recursos de la red de área local de la organización obtenidos desde fuentes abiertas

Ejemplos de estos recursos “interesantes” son los servidores de bases de datos y otros “sitios de almacenamiento” de información médica. Además, el atacante, usando los nombres obvios de los recursos, puede reconocer las estaciones de trabajo que tienen aparatos médicos conectados.


Ejemplo de mala asignación de nombres a recursos internos en la red local de una institución médica, que da pistas al atacante sobre dónde se encuentran los datos valiosos

Para complicar la vida de los hackers, hay que evitar usar nombres obvios. Para este fin existen recomendaciones para poner nombres a estaciones de trabajo y servidores hechas por organizaciones reconocidas. Le recomendamos que las lea.

Recomendación №3: actualice regularmente el software instalado y elimine el que resulte superfluo

Un atacante puede encontrar muchos puntos de entrada potenciales al analizar el software instalado en los nodos red que procesan información valiosa. En el ejemplo siguiente, la estación de trabajo tiene instalada una serie de aplicaciones que no tienen nada que ver con la medicina (el gusano W32.Mydoom y un servidor del juego Half-Life). Además, en la misma lista hay una serie de programas que contienen vulnerabilidades críticas para las que existen explotaciones publicadas.


Ejemplo de software instalado en una estación de trabajo que tiene un aparato médico conectado

Otro ejemplo de este enfoque irresponsable es la instalación de software de terceros en un servidor responsable del funcionamiento de un portal web que brinda acceso remoto a los datos médicos a los doctores y pacientes.


En el mismo servidor donde está instalado el visor de DICOM, hay también software superfluo

Para excluir la posibilidad de acceso a datos a través de software de terceros, se debe hacer regularmente un inventario de los programas instalados y, a continuación, actualizarlos. En las estaciones de trabajo que tienen conectados aparatos médicos no debe haber nada superfluo.


Ejemplo de un portal web de salud vulnerable, que contiene vulnerabilidades críticas que afectan a datos médicos

Recomendación №4: abstenerse de conectar aparatos costosos a la red de área local principal de la organización

Los dispositivos médicos utilizados para el diagnóstico y las operaciones son a menudo equipos caros, cuyo mantenimiento (por ejemplo, su calibración) requiere una inversión financiera significativa del propietario.

Si el delincuente obtiene acceso al hardware o a una estación de trabajo con un dispositivo conectado, puede:

  • extraer los datos médicos directamente del dispositivo;
  • suplantar la información de diagnóstico (spoofing);
  • desconfigurar el hardware, lo que resultará en la entrega de información no fiable o en un fallo temporal.

Para tener acceso a los datos de un dispositivo, basta con que el atacante haga una búsqueda de software específico.


En la lista del software instalado en la estación de trabajo, el delincuente puede reconocer las aplicaciones médicas y cambiar la configuración de funcionamiento del hardware

Para evitar el acceso no autorizado al hardware, hay que poner todos los dispositivos médicos y las estaciones de trabajo conectadas a ellos en un segmento aislado de la red y asegurarse de que los eventos que ocurran en ese segmento estén bajo una observación constante y estricta (véase también la Recomendación №5).

Recomendación №5: asegurar la detección oportuna de la actividad maliciosa en la red local

Cuando no es posible instalar una solución de seguridad en el dispositivo (a veces la garantía del fabricante prohíbe cualquier manipulación con el sistema operativo), es necesario buscar alternativas para detectar al atacante o para confundirlo. Sobre uno de estos métodos escribimos en el artículo “Engañar para detectar”.

Al organizar su defensa, la institución puede preparar un conjunto de trampas especializadas, en forma de nodos de red local que fingen ser aparatos médicos. Cualquier acceso no autorizado a éstos puede indicar que alguien ha penetrado en la red, y que el servicio de seguridad informática de la institución médica tiene que tomar medidas.

Hay muchas maneras de detectar actividades maliciosas y enumerarlas en forma de recomendaciones no tiene sentido: cada servicio de TI elige tecnologías, productos y estrategias de seguridad basándose en muchos factores (tamaño de la red, importancia crítica de los recursos, presupuesto, etc.). Pero lo importante es tener presente que la falta de protección en la infraestructura médica puede costarle la vida a los pacientes.

Publicaciones relacionadas

Leave a Reply

Your email address will not be published. Required fields are marked *