Expertos informan que los implantes modernos como marcapasos, desfibriladores y bombas de insulina son vulnerables a potenciales ataques informáticos, lo que podría poner vidas en juego.
Karen Sandler tiene un gran corazón y no sólo porque dirige la Fundación Gnome, una organización sin ánimo de lucro dedicada al desarrollo y distribución gratuita de programas para computadoras.
Tiene un corazón mayor de lo usual por una condición médica conocida como cardiomiopatía hipertrófica (HCM). Los que la sufren tienen las paredes de este músculo vital más gruesas, por lo que su corazón es más duro y de gran tamaño, algo que implica un mayor riesgo de muerte súbita.
Cada año, explica, hay entre un 2-3% de posibilidades de que su corazón pare de latir. El riesgo es acumulativo y a medida que pasan los años mayor es el riesgo de que su problema sea fatal.
La ciencia médica es hoy capaz de minimizar esta amenaza gracias al implante de un desfibrilador, capaz de emitir un impulso eléctrico que reanime su corazón si éste decide pararse.
Sin embargo, el hecho de que Sandler sea abogada, programadora y defensora del software de código abierto ha hecho que se lo piense dos veces antes de meter uno de estos mecanismos modernos en su organismo.
Los programas de código abierto, como indica su nombre, permiten que cualquiera pueda saber cómo están hechos.
Dada su experiencia, Sandler quería conocer con detalle el código de programación de cualquier aparato que fuera a implantarse en su corazón.
Desafortunadamente, dijo a BBC, a pesar de su insistencia, el fabricante no quiso revelar los secretos de su programa.
“Sabiendo lo que se de programación estoy segura de que el programa debe tener defectos”, explicó.
Sandler está enormemente preocupada por el hecho de que cada vez es más común que estos implantes suministren información y, lo más grave para ella, es que ya puedan hacerlo por vía inalámbrica.
“Confiamos en estas computadoras porque son más accesibles que antes”, dice. En su caso, decidió optar por un desfibrilador antiguo que se comunica con el exterior por vía magnética y que sólo suministra datos cuando estos se requieren.
Los miedos de Sandler fueron confirmados por una investigación comisionada por el gobierno estadounidense para estimar cuán confiables son estos dispositivos médicos.
En el reporte, se indicó que estos aparatos son “vulnerables” pero a su vez esenciales en muchos tipos de tratamientos.
“Sin estos programas muchos tratamientos médicos no existirían”, explicó a BBC el Kevin Fu, de la Universidad de Massachusetts Amherst y profesor a cargo del informe. “Los implantes ayudan a los pacientes a llevar vidas más sanas y normales sin necesidad de revisiones constantes”.
Muchas “muertes evitables” han tenido lugar, confirmó, porque el código informático de estos dispositivos médicos en los hospitales o en el interior de los pacientes no fue revisado.
En un caso, explicó, se administró una dosis muy elevada de una droga porque los campos que determinaban horas, minutos y segundos no estaban correctamente indicados en la pantalla.
Expertos indican que el riesgo es mayor en aquellos aparatos capaces de transmitir datos por vía inalámbrica.
Barnaby Jack, de la firma de seguridad McAfee explicó que en sólo dos semanas pudo detectar la señal emitida por una bomba de insulina comúnmente utilizada y dio con la forma de hackearla alternado su funcionamiento.
Con este dato se podría fabricar una herramienta de ataque capaz de escanear entre la multitud a todos aquellos portando una bomba de este tipo y así transmitir una señal que ordene a cada implante liberar su cartucho entero de insulina en el riego sanguíneo de la víctima.
Tal dosis de insulina sería fatal, dice Jack, quien también descubrió el modo de bloquear el mecanismo que hace que la bomba vibre cada vez que se libera insulina.
“Entonces sería difícil para ellos el saber lo que está pasando”, dijo.
Al incorporar sistemas de radio en los implantes de insulina, los fabricantes han incrementado con creces las “posibilidades de ataque” disponibles, apuntó.
“Consumen poca energía y tienen un código muy reducido, así que no hay espacio para incluir encriptados o sistemas de identificación del usuario”.
Sin embargo, Panos Vardas, presidente de la sociedad europea de cardiología asegura que no han detectado ataques que atenten contra la seguridad de estos aparatos y que la posibilidad de que se manipulen de forma ilegal es “extremadamente remota”.
Por su parte Jack afirma que no va a hacer públicos los resultados de su investigación, ya que su propósito no es dañar a nadie, pero que espera que al menos esto “promueva algún cambio en las empresas para dotar de mayor seguridad estos mecanismos”.
“Los dispositivos médicos están llegando a un punto en el que pueden darse problemas”, dice el profesor Fu, “hay vulnerabilidades pero no hay amenazas perceptibles”.
“Mi preocupación es que sólo trataremos de proteger estos sistemas cuando ocurra un incidente y preferiría que estos se traten de solucionar antes de que eso pase”.