Inicio / Blog / Las vulnerabilidades también se curan

Las vulnerabilidades también se curan

Publicado el 04/02/2016, por INCIBE
tecnología aplicada a la medicina

Al igual que en otros sectores industriales, la medicina ha evolucionado para incluir tecnologías dentro de sus entornos. Estas tecnologías, que a veces parecían muy futuristas como para poder hacerse realidad, se han ido incorporando en la medicina en busca de mejorar ciertos servicios sanitarios, como el uso de dispositivos computerizados como guía para realizar intervenciones que requieren gran precisión en los movimientos, cámaras endoscópicas, uso de impresoras 3D para la generación de implantes, etc.

Para ayudar a llevar una vida más cómoda a pacientes con patologías que afectan al funcionamiento de determinadas partes de su cuerpo, se han ido incorporando dispositivos implantados en diferentes zonas del cuerpo dependiendo del objetivo que tenga cada uno.

Dispositivos médicos

- Muestra de dispositivos médicos -

La comunicación con el exterior de estos implantes se suele realizar mediante radiofrecuencia, facilitando así el intercambio de datos con los técnicos sanitarios que los controlan o con estaciones portátiles al alcance de los pacientes, de forma que estos puedan controlar la repercusión de sus acciones con los implantes a la hora de realizar sus tareas diarias u otro tipo de actividades. En el ámbito veterinario el uso de estos dispositivos para control médico es muy usual.

Cabe destacar la posibilidad de que los implantes se comuniquen con protocolos diferentes dependiendo del modo de medición. Es decir, puede ser diferente la comunicación realizada por los dispositivos usados por técnicos para la revisión de datos almacenados, a la comunicación establecida con las estaciones portátiles que disponen los pacientes (las interferencias de radio dentro del hospital están mucho más controladas que las que se pudiesen originar en su exterior).

En este contexto, algunos de estos nuevos dispositivos tienen capacidad de comunicación a través de radiofrecuencia o red que en determinadas circunstancias permiten un acceso remoto y la manipulación de algunos aspectos de configuración. Aunque para utilizar estos accesos remotos es necesario un gran conocimiento de las tecnologías involucradas, ante la posibilidad de un uso malicioso o fraudulento de los mismos, los fabricantes prestan gran atención a la seguridad y dedican un importante esfuerzo para mejorar la protección de todos los dispositivos.

Comunicaciones por Radiofrecuencia

La utilización de radiofrecuencia supone cierta problemática para los pacientes que poseen estos dispositivos y que es tenida en cuenta por fabricantes e implantadores. Algunos puntos de especial relevancia conocidos y gestionados a la hora de asegurar el correcto funcionamiento de este tipo de dispositivos son:

  • Uso inadecuado de los dispositivos y la tecnología incluida en los mismos por falta, en muchas ocasiones, de las explicaciones o manuales de uso.
  • Pérdida o degradación de las comunicaciones a la hora de transmitir datos que pueden deberse a una interferencia entre señales inalámbricas o interferencias magnéticas (EMI) tanto en el propio dispositivo como en sus transmisiones inalámbricas.
  • Compromiso de comunicaciones inalámbricas derivado del uso de protocolos que no realizan un intercambio de datos cifrado.
  • Disponibilidad internacional de las bandas de frecuencia asignadas ya que los pacientes pueden estar ubicados en diferentes regiones geográficas o desplazarse de una a otra.

Una buena herramienta para gestionar estos riesgos es la norma ISO 14971, en la que se establecen los requisitos de la gestión de riesgos para determinar la seguridad de un producto sanitario por parte de un fabricante durante todo el ciclo de vida del producto.

Protecciones en la comunicación

En un entorno como el descrito, es fácil deducir la importancia de proteger adecuadamente los medios de comunicación de estos dispositivos.

Para ello, el uso de cifrado en el tráfico inalámbrico y el control de acceso a datos alojados tanto en el propio dispositivo como en otros elementos con los que se comunica e intercambia información, son puntos clave claros. En resumen, la protección de estos dispositivos atiende a:

  • Protección contra acceso inalámbrico no autorizado tanto al control como a los datos del dispositivo, incluyendo protocolos que mantengan la seguridad de las comunicaciones, evitando deficiencias conocidas de protocolos.
  • Protección del propio software impidiendo accesos no autorizados y estableciendo un control de los accesos al dispositivo.
  • Configuración de los servicios necesarios teniendo en cuenta la apertura de puertos de administración o comunicación y los usuarios por defecto.
  • Actualización segura y mantenimiento del software para evitar que posibles vulnerabilidades que se descubran del software actual puedan ser utilizadas por terceros.

ataques al sector salud

Como no podía ser de otra manera, el sector médico está implicado en el desarrollo de dispositivos seguros con fines médicos, realizando cada vez un mayor seguimiento en el desarrollo y elaboración de los mismos y teniendo muy en cuenta a quien irán dirigidos estos dispositivos.

Seguridad en dispositivos médicos: Casos reales

Una de las primeras noticias con respecto a la manipulación de los dispositivos médicos, aparece en 2008 cuando investigadores de diferentes universidades, relacionados todos ellos con el mundo de la medicina, estudian el funcionamiento de un dispositivo con función de marcapasos y desfibrilador cardiaco. Estos investigadores fueron capaces de reprogramar el funcionamiento del dispositivo pudiendo suministrar sacudidas eléctricas a una potencia que sería fatal en caso de realizar estas pruebas en un dispositivo de este tipo ya implantado en una persona.

Por otro lado, fueron capaces de recoger datos personales gracias a las escuchas de las señales de radio que generaba el dispositivo para permitir a los médicos controlar y ajustar los parámetros del dispositivo sin cirugía.

Ya en 2011, el investigador de seguridad Jay Radcliffe vuelve con más vulnerabilidades en dispositivos médicos, exactamente en bombas que suministran insulina, más concretamente en la suya propia. La vulnerabilidad detectada, tenía que ver, una vez más, con el método de comunicación del dispositivo. Tras el análisis del protocolo utilizado, se evidenció que las comunicaciones no iban cifradas y no disponían de los niveles de seguridad adecuados para evitar su manipulación.

Otros casos de vulnerabilidades en dispositivos médicos detectadas más recientemente están disponibles en la sección de avisos SCI de INCIBE como son los siguientes:

Todos ellos se corresponden con modelos de bombas para suministrar fármacos de forma intravenosa a los pacientes.

Los fabricantes trabajan para que evitar y reaccionar ante estas vulnerabilidades desarrollando procesos exhaustivos de diseño, testeo, uso de las comunicaciones y posibles usos del dispositivo antes de que éste llegue al cuerpo que lo necesite.

No hay duda de que la tecnología junto con la investigación impulsan el campo de la medicina para mejorar nuestra la calidad de vida. Al igual que una infraestructura crítica requiere de determinados niveles de seguridad y procesos de calidad, el trabajo en el campo de la medicina tiene este mismo trato con la especial característica de que, en caso de determinados dispositivos, hay vidas que dependen muy directamente de ellos.