Ayer fue reportada una vulnerabilidad en dispositivos médicos tales como dispositivos quirúrgicos, desfibriladores o bombas de insulina. La misma permitiría acceso a configuraciones críticas de estos dispositivos y control remoto por parte de personas no autorizadas.
En los últimos años, cada vez es mayor la cantidad de dispositivos médicos y equipamiento de laboratorio que brindan la funcionalidad de conexión a red. Esto implica importantes mejoras en el accionar del personal médico, ya que los dispositivos pueden ser regulados sin necesidad de utilizar cables o llevar a cabo procedimientos invasivos o quirúrgicos, en el caso de un marcapasos; y con una mejor tiempo de respuesta. La otra cara de la moneda es que al brindar acceso en forma remota surgen consideraciones especiales en cuanto a la seguridad que deben ser adecuadamente tratadas. Se busca una mayor flexibilidad y ahorro de costos, evitando el acceso indebido a los dispositivos.
Lamentablemente, es en este punto donde se ha fallado en esta ocasión. Las agencias estadounidenses FDA (que regula productos farmacéuticos y alimenticios, entre otros) e ICS-CERT (relacionada con la seguridad de sistemas de control industriales y respuesta a incidentes) emitieron comunicados que afirman la presencia de una vulnerabilidad en alrededor de 300 dispositivos médicos, y cerca de 40 fabricantes distintos.
La vulnerabilidad, causa principal del alerta ICS-ALERT-13-164-01, consiste en que gran parte de los dispositivos analizados poseen contraseñas por defecto embebidas en el código del controlador del dispositivo. Esto implica que, si bien puede establecerse una nueva contraseña que solamente sea conocida por personal autorizado, un tercero con conocimiento de las contraseñas por defecto podría lograr acceso privilegiado al dispositivo y poner en riesgo su funcionamiento y la integridad física del paciente. Si a esto se le suma otros puntos débiles como la comunicación en texto plano, la falta de autenticación, firmwares sin firma digital y una programación demasiado sencilla, se entiende la necesidad de emitir un alerta para instar a los fabricantes a mejorar estas características cuanto antes.
Una persona no autorizada que lograse acceso a uno de estos dispositivos médicos podría ejercer un control sobre el mismo, modificar variables de funcionamiento e incluso alterar o instalar un nuevo firmware. La conexión podría ser establecida desde algún dispositivo móvil que se encontrara cercano al objetivo, o a través de Internet, conectándose a la red del objetivo, por ejemplo. Evidentemente, los peligros en estas situaciones son muy altos, considerando que se podría causar perjuicios en la salud de una persona, ocultándose en la anonimidad.
Es importante señalar, sin embargo, que no se han identificado casos de explotación de esta vulnerabilidad in-the-wild. A su vez, estas agencias han decidido no comunicar en sus alertas qué modelos o fabricantes son vulnerables. Desde ESET Latinoamérica instamos a cambiar las claves por defecto en cualquier dispositivo, tanto hogareño como corporativo, que se encuentre en red.
Matías Porolli
Especialista de Awareness & Research