¿Piratear aparatos médicos? No es pura ficción y los expertos estadounidenses opinan que la amenaza es seria, con objetivos que van desde los marcapasos a la bomba de insulina, y que sus consecuencias pueden ser mortales.
La Food and Drug Administration (FDA), organismo encargado de la seguridad de alimentos y medicamentos en Estados Unidos acaba de recomendar una mayor vigilancia a los fabricantes.
Esta preocupada por las “vulnerabilidades” en materia de ciberseguridad que podrían afectar directamente a los aparatos médicos o a las redes de los hospitales.
El escenario futuro ya fue contemplado en la televisión: en la serie “Homeland” asesinan alvicepresidente de Estados Unidos interviniendo en su marcapasos y desencadenando un choque eléctrico letal.
“La buena noticia es que no tenemos conocimiento de ningún accidente en el mundo real. Pero la mala noticia es que no hay nadie científicamente interesado en el tema”, comenta Kevin Fu, profesor de informática de la universidad de Michigan, especializado en el ámbito de la salud. Un virus informático puede contagiarse en un santiamén“, señala.
Kevin Fu es coautor de un estudio de 2008, que destacaba los riesgos de artefactos implantados en el cuerpo humano, como los desfibriladores cardíacos, ya que los piratas pueden reprogramarlos infiltrándose en las redes inalámbricas que sirven para dirigirlos.
Para él, sin embargo, “el mayor riesgo es un virus que entre por accidente en un aparato médico antes que los ataques imaginados en la ficción”.
“Los virus enlentecen a menudo los ordenadores, y cuando usted enlentece un aparato médico, ya no tiene la integridad necesaria para funcionar como debería”, explica.
Según Barnaby Jack, experto de la compañía de seguridad IOActive, el escenario descrito en “Homeland” es “totalmente realista”. Dice que quiere hacer una presentación de un ataque similar durante un próximo foro de hackers.
Barnaby Jack estudió los marcapasos y los desfibriladores cardíacos implantables de un importante fabricante y los encontró “particularmente vulnerables”. Desde una distancia de 10 a 15 metros, “puedo recuperar los códigos necesarios para interrogar los implantes individuales a distancia”, afirma.
Otro experto en seguridad informática, Jay Radcliffe, él mismo diabético, demostró en 2011 que era posible piratear una bomba de insulina y modificarle las dosis.
Al margen de los aparatos implantables, muchos equipos hospitalarios (monitores cardíacos, scanners, respiradores artificiales, aparatos de radioterapia o mezcladores de productos que se introducen por vía intravenosa) están conectados a redes, a veces inalámbricas, cuya seguridad puede presentar fallas.
Sus contraseñas también pueden ser pirateadas. La empresa de seguridad Cylancepublicó recientemente una lista de ellas. “Hubiéramos podido publicar 1.000, o llegado incluso hasta las 10.000. Nos detuvimos en las 300 porque eran suficientes para enviar el mensaje”, comentó Cylance en su blog.
“Las posibilidades de un ataque contra el aparato médico de alguien es extremadamente baja”, relativiza no obstante Barnaby Jack.
“Cualquier riesgo, por reducido que sea, debe ser suprimido”, opina, y espera que la llamada de atención sobre el problema empujará a los fabricantes a mejorar la seguridad de los aparatos.
“La mayoría de los problemas de seguridad pueden ser rastreados desde la concepción” del aparato, asegura Kevin Fu, quien dice tener “dudas acerca de la eficacia de una estrategia basada únicamente en los antivirus”.