El internet de las cosas (IoT) y Malware en el sector salud

healthcare devices

A medida que la industria médica se vuelve más informatizada, son más los profesionales de la salud y los pacientes que comienzan a utilizar dispositivos médicos y aquellos diseñados para monitorear la actividad física. Si bien suelen estar repletos de información confidencial, la seguridad y la privacidad en general son una preocupación secundaria.

SI UN DISPOSITIVO TIENE UN SISTEMA OPERATIVO OBSOLETO Y SIN SOPORTE, SE LE DEBERÁ DAR PROTECCIÓN ADICIONAL

En ocasiones puede haber máquinas grandes y costosas que usan sistemas operativos comunes (y con demasiada frecuencia obsoletos), como Windows XP Embedded. A menudo proporcionan un fácil acceso al resto de la red hospitalaria donde se guardan muchos tipos de datos confidenciales:información financiera para la facturación, información de identidad para brindar seguros médicos, así como información relacionada con la salud generada por las visitas de los pacientes.

Desde una perspectiva criminal, estos datos son sumamente lucrativos: tienen el potencial de ser diez veces más valiosos que los detalles de las tarjetas de crédito o débito.

Los dispositivos médicos de los hospitales suelen utilizar un sistema operativo similar al que usan los equipos de escritorio, por lo que es posible aplicar la misma tecnología y las mismas técnicas para protegerlos. Sin embargo, si un dispositivo tiene un sistema operativo obsoleto (y potencialmente sin soporte), se le deberá dar una protección adicional significativa. Hasta puede ser preferible mantener la máquina completamente desconectada de todas las redes, aunque aún así se deberá proteger contra amenazas que se puedan propagar por medios extraíbles.

Dispositivos médicos y de monitoreo en el hogar

healthcare

Los dispositivos médicos y de monitoreo de actividad utilizados en el hogar suelen ser muy pequeños, para que se puedan usar o implantar sin resultar intrusivos. La mayoría utiliza sistemas operativos Linux o basados en Linux. Pueden estar conectados a Internet u ofrecer sincronización con un dispositivo móvil o equipo de escritorio; y al igual que los dispositivos que se usan en hospitales, también suelen actualizarse con poca frecuencia… cuando se actualizan.

Aunque el equipo utilizado por el paciente en su casa no suele almacenar información de tarjetas de pago, puede tener otros datos que a los delincuentes les interesaría robar o modificar, tales como: la dirección de correo electrónico, el nombre de usuario, la contraseña y los datos de GPS, incluyendo la dirección particular o laboral. Además, el dispositivo podría indicar cuando el usuario está fuera de casa o dormido. Un ataque a un implante podría permitir que los delincuentes hicieran una serie de cambios a las medidas prescritas, lo que podría causar problemas médicos graves (o incluso mortales).

En cuanto a un dispositivo médico personal, es de suma importancia evitar que se use para dañar a los usuarios o comprometer su privacidad. Es evidente que un ataque a una bomba de insulina o un marcapasos con conexión a Internet será significativamente diferente a un ataque a un dispositivo para monitorear la actividad física. Las medidas de seguridad necesarias serán las mismas, aunque una bomba de insulina o un marcapasos pueden tener activados ajustes más estrictos en forma predeterminada.

Protección de dispositivos médicos

Los fabricantes de dispositivos médicos para uso personal o en hospitales tienen en sus manos la oportunidad de iniciar un cambio hacia una mayor seguridad, mediante la seria consideración de este problema desde la fase de diseño. Hay varias medidas que deberían tomar para hacerlos más seguros:

  • Diseñar teniendo en cuenta la privacidad: Lee sobre los siete principios de la Privacidad por diseño (en inglés).
  • Cifrar datos: Tanto los guardados en disco como los que se encuentran en tránsito. Por ejemplo, cuando se envían por correo electrónico, por la Web o por mensajería instantánea, o cuando se sincronizan con el equipo del usuario.
  • Clarificar las opciones de almacenamiento de datos: Darles a los usuarios la capacidad de almacenar localmente los datos monitoreados, en vez de que tengan que dejarlos en la nube.
  • Autenticar el acceso a las cuentas: Verificar que los usuarios sean quienes dicen ser. Es imprescindible que se autentiquen antes de que visualicen, compartan o modifiquen la información almacenada en los dispositivos implantados, dado que las consecuencias de su uso indebido son significativamente más costosas. Por lo tanto, es necesario que los fabricantes suministren múltiples factores de autenticación para el acceso a las cuentas online.
  • Crear un mecanismo de protección integrado en caso de fallas: Los errores ocurren. Por eso, los productos deberán ofrecer la posibilidad de revertirse a un estado predeterminado que mantenga el acceso a las funcionalidades críticas y no ponga en peligro a los usuarios cuando se produzca algún problema.
  • Asumir que el código se puede llegar a usar con fines maliciosos: El código legítimo puede manipularse para que el dispositivo ejecute código no autenticado. Es de vital importancia manejar los errores teniendo siempre en cuenta esta posibilidad.
  • Prepararse para vulnerabilidades: Establecer y publicar una política de revelación responsablepara informar las vulnerabilidades.
  • Prepararse para posibles brechas de seguridad: Es necesario crear un plan de respuesta a incidentes para poder reaccionar correctamente en caso de una fuga de datos. De esta forma, en el caso de una emergencia, tu respuesta será más rápida y te permitirá elegir tus palabras sabiamente.
  • Prepararse para el escrutinio gubernamental: Hay diversas organizaciones, como la Comisión Federal de Comercio (FTC) y la Administración de Alimentos y Drogas (FDA) en los Estados Unidos, que monitorean de cerca el ámbito de los dispositivos médicos, por lo que implementar cambios ahora puede ayudar a evitar problemas legales y multas considerables en el futuro.

Es probable que la seguridad de la industria de la salud se convierta en el foco de atención a medida que la Internet de las Cosas se abre paso en nuestros hogares y lugares de trabajo. Es nuestro deber mejorar la postura global de seguridad en las organizaciones para reducir la frecuencia y la gravedad de todo tipo de incidentes.