¡Nuevo!

Ataque a la ciberseguridad sanitaria: bombas de insulina

Jerome Radcliffe es un analista de seguridad informática, lo que todos conocemos como un hacker. Pero además en un paciente con Diabetes Mellitus tipo 1 y usuario de una bomba de insulina desde hace años. Durante mucho tiempo ha mantenido un blog sobre su convivencia con la diabetes, lo que le define como un ePaciente o como paciente involucrado según deducimos de sus palabras:

Como geek la idea de ese aparato "inteligente" unido a mí, era llamativa. Me permitía recopilar información que me permitiría tomar mejores decisiones sobre mi tratamiento. También tiene algunas capacidades inalámbricas, facilitando la entrada de datos desde un medidor externo de glucosa.

En agosto, durante la conferencia de seguridad informática «Black Hat», Jerome lanzó un ataque contra los cimientos de las conexiones inalámbricas cada vez más usadas en eSalud, había logrado manipular el sistema informático de una bomba de insulina y de un medidor contínuo de glucosa conectándose a ellos mediante tecnología wireless. Es decir, podía alterar el funcionamiento de los dispositivos que regulan su insulina desde veinte metros de distancia.

Evidentemente, tras hacerse pública la charla los usuarios de esta tecnología lanzaron todo tipo de críticas contra Jerome, acusándolo de irresponsable y de poner en peligro la seguridad de los pacientes. Sin embargo, el hacker explicaba las razones por las que había actuado así y apuntaba directamente como responsables de esta brecha de seguridad a la FDA y al fabricante. Por supuesto, la forma en que la prensa ha tratado el problema no ha ayudado a calmar los nervios de los pacientes. Señalar a los diabéticos como potenciales víctimas de ataques ciberterroristas no parece la mejor de las noticias tranquilizadoras.

En todo caso, ser tranquilizador no quita hierro al asunto, Jerome Radcliffe es capaz de detener el funcionamiento de una bomba de insulina, o lo que sería aún peor, de disparar la cantidad de insulina inyectada hasta una dosis letal. Y efectivamente, la ausencia de una guía de la FDA sobre los requisitos de seguridad en conexiones inalámbricas es preocupante, al igual que pasa con la inexistente normativa sobre aplicaciones móviles en eSalud. Medtronic, la mayor empresa de tecnología sanitaria, ha intentado calmar los ánimos con unas declaraciones bastante insulsas en las que promete "mejoras" de seguridad de cara a las próximas generaciones de bombas de insulina, eso sí, sin mencionar qué pasa con las que ya están en el mercado.

Finalmente, la historia ha tenido un final tranquilo pues afortunadamente ha sido Jerome quien ha descubierto este fallo y lo ha hecho público, con el objetivo de llamar la atención sobre la débil seguridad de la tecnología sanitaria inalámbrica. Además tampoco ha revelado las especificaciones (marca y modelo) de sus dispositivos, lo que reduce el número de sujetos vulnerables a uno, él mismo. Es el turno de los organismos reguladores y de las empresas para avanzar en este campo y adoptar las sugerencias que el hacker incluía en la misma presentación, basadas en las cuatro premisas que ya hemos comentado al hablar de seguridad informática en eSalud: encriptar, proteger, verificar accesos, impedir el robo de datos. Recordemos, que no es la primera vez que pasa, ojalá sea la última.

0 comentarios:

Publicar un comentario