Los últimos aportes tecnológicos en el campo médico han representado un verdadero incremento no sólo en la calidad de servicio brindado por entidades de salud, sino también en la calidad de vida de muchos pacientes con enfermedades crónicas de complejidad diversa.
Tales mejoras vienen de la mano de nuevas funcionalidades en dispositivos médicos, que de a poco van integrándose en nuestro mundo de redes e Internet. Los avances en dispositivos implantados (IMD) permiten solucionar afecciones de variada índole, cumpliendo normalmente una función vital en su portador, pero acarreando nuevas consideraciones en materia de seguridad que continúan siendo subestimadas.
En este contexto, ¿podemos “contagiarnos” de virus informáticos? No sólo es posible para un virus infectar de forma inalámbrica un dispositivo médico implantado, sino que luego tal dispositivo puede propagar el virus de igual modo a sus pares, derivando en la misma situación que un contagio por virus biológico.
Mientras las posibilidades de la medicina moderna se multiplican, veamos cuáles son las principales amenazas que enfrentan hoy estos dispositivos y cómo prevenir que caigan en malas manos.
¿Por qué son vulnerables los dispositivos médicos?
Las amenazas a estos dispositivos son muy reales, y existen muchos ejemplos de equipos médicos infectados por malware, mayormente de manera inadvertida. De hecho, el año pasado les contábamos acerca de una vulnerabilidad en más de 300 dispositivos quirúrgicos que podría permitir cambiar su configuración.
Por empezar, la seguridad en las conexiones inalámbricas que realizan es a menudo pobre, y la industria de equipamiento médico continúa relegando la inclusión de mecanismos de seguridad en los mismos, menospreciando su potencial impacto. Existe una creciente actividad de investigación académica al respecto con el objeto de exponer posibles vulnerabilidades y guiar a la industria hacia el desarrollo de políticas más seguras. Sin embargo, aquellos dispositivos que han sido construidos años atrás fueron creados sin tener en cuenta los diversos vectores de ataque que minan el campo tecnológico hoy en día, y permanecen aún en funcionamiento sin la mínima protección.
Como agregado, la implementación de equipos médicos seguros presenta desafíos no menores, como ser costo de desplegar y mantener una red médica segura, desembocando en un alarmante número de organizaciones de salud que no llevan a cabo un detallado análisis de riesgos, tal y como debiesen.
Dado que estos dispositivos deben acatar regulaciones locales e internacionales, cada modificación que se realice sobre ellos -como la actualización de su sistema operativo, o la instalación de firewalls y sistemas de actualizaciones automatizados- implica su inmediata invalidez y la necesidad de someter la nueva versión del dispositivo a aprobación, proceso que demanda tiempo y dinero, obstaculizando la frecuente inclusión de mejoras de seguridad.
Cuando una vulnerabilidad es encontrada en un dispositivo médico, el fabricante debe dedicar tiempo a subsanarla e iniciar los trámites necesarios para lograr nuevamente la aprobación. Luego, deben ser identificados todos aquellos equipos actualmente en uso que presentan la vulnerabilidad en cuestión para su actualización, hasta que una nueva falencia es encontrada, y el ciclo vuelve a iniciarse.
¿Cuáles son las principales motivaciones de ataque?
Existen numerosas razonas que sirven de motivación a atacantes para vulnerar estas herramientas. Entre ellas encontramos las siguientes:
- Son considerados un blanco fácil ya que presentan aplicaciones antiguas con un inadecuado nivel de seguridad. La gran mayoría de los dispositivos biomédicos se encuentran “sellados” -no permiten modificaciones- y no son capaces de correr agentes de autenticación de terceros o software suplicante para 802.1X, sin existir manera para el usuario de intervenir en estos equipos mediante un navegador web.
- Abren la posibilidad de recolectar datos del paciente, ya sean clínicos o financieros, para conseguir provecho de ellos mediante variadas formas de lucro, como venta ilegal o extorsión.
- Pueden comprometer la habilidad de una organización para brindar servicios de salud o responder a emergencias en forma de ataques DDoS.
- Facilitan la rápida diseminación de malware y la formación de botnets.
- Permiten convertir dispositivos médicos en armas mediante la alteración de su normal funcionamiento.
- Pueden servir a propósitos de espionaje industrial, recavando información técnica de los equipos y sus funciones.
El problema de la seguridad física
Estos equipos normalmente se encuentran desplegados dentro del alcance físico del paciente y muy pocos incluyen mecanismos de logueo para prevenir el acceso no autorizado, buscando salvaguardar la disponibilidad inmediata en caso de emergencia. Un porcentaje muy pequeño de dispositivos –por ejemplo, las bombas de infusión inteligentes-, presentan la opción de bloquear el sistema, generalmente deshabilitada por defecto.
Sin embargo, la presencia de autenticación de credenciales para el modo de mantenimiento se vuelve crucial a fin de evitar ataques que produzcan cambios en la configuración del equipo con consecuencias de alto riesgo para el paciente.
¿Cómo protegemos nuestros activos médicos?
En una organización de salud es común encontrar equipos con diferentes niveles de seguridad según su antigüedad y operatoria. En este sentido, es necesario desarrollar una arquitectura de red por zonas que permita separar aquellos que utilicen métodos inseguros de autenticación y cifrado del resto de la red, automatizar el monitoreo del tráfico y controlar el establecimiento de conexiones entre zonas.
Los puertos de conexión de los equipos muchas veces se encuentran al alcance de dispositivos no autorizados como computadoras portátiles. Una arquitectura por zonas permite aislar estos equipos, creando VLANs de dedicación exclusiva a la autenticación de estos puntos de acceso. Es importante definir para cada red virtual su propio juego de reglas de firewall.
Aquellos aparatos con sistemas operativos propietarios embebidos –como ser monitores de pacientes o dispositivos implantados-, los cuales no pueden ser modificados con firewalls y antivirus, y cuyo acceso físico es no restringido, pueden ser inmunes a diferentes ataques, como DDoS o buffer overflows. Cuando las conexiones inalámbricas no pueden ser evitadas en herramientas de esas características, existen desarrollos que sirven al bloqueo de conexiones no autorizadas, funcionando como gateways de seguridad para la administración de autenticación y cifrado.
Otras buenas prácticas incluyen:
- Adquisición de equipos que permitan utilizar certificados, en contraste con sistemas de acceso por nombres de usuarios y contraseñas, ya que puede gestionarse su revocación o renovación de manera remota.
- Evitar equipos antiguos que no utilicen métodos no robustos de cifrado como ser WEP. De no ser posible esto, aislarlos correctamente del resto de la infraestructura de red.
- Crear dominios PKI específicos para dispositivos médicos móviles, y asegurarse que los mismos permitan diferentes certificados.
- No olvidar contemplar que estos dispositivos normalmente incorporan puertas traseras para el fabricante. Permitirle la comunicación directa mediante estas backdoors sin debilitar el nivel de seguridad del sistema ni exponer las zonas críticas a peligros externos debe ser un aspecto a tener en cuenta en el diseño de las capas de la topología de red.