La pesadilla de los hackeos ya llegó al nivel de los implantes médicos. De acuerdo con ArsTechnica, Investigadores de la firma Clever Security descubrieron un fallo en los desfibriladores de la empresa Medtronic, los cuales se insertan quirúrgicamente en el cuerpo de un paciente con ritmo cardiaco irregular.

Estos implantes funcionan a través de radiofrecuencia para conectar el implante a un monitor que se encarga del correcto funcionamiento del desfibrilador. El problema es que esta conexión inalámbrica no cuenta con ningún cifrado o método de autenticación. El protocolo propietario de Medtronic es tan inseguro que podría permitir a un tercero tomar el control del implante y reescribir el firmware.

Esto último fue comprobado por los investigadores, quienes desarrollaron un ataque capaz de afectar los dos tipos de consola a la que puede conectarse el desfibrilador. El fallo permite a un atacante que se encuentre en el rango —cerca del paciente o la consola— extraer datos sensibles de la persona, como nombre, número de teléfono o nombre del médico que lo trata.

El peligro que enfrenta una persona con ese tipo de implante no solo se reduce al robo de información, sino también a la posibilidad de reescribir el firmware y ajustar el funcionamiento del desfibrilador. El dispositivo de Medtronic realiza descargas eléctricas en el paciente para el tratamiento del ritmo cardiaco irregular, previniendo así un accidente vascular.

El fallo fue descubierto en 2018

Monitor casero Medtronic

El descubrimiento de este fallo no es reciente. Los investigadores alertaron a Medtronic hace más de un año de la existencia de esta vulnerabilidad. El fabricante realizó cambios en la consola a la que se conecta el desfibrilador con el fin de prevenir que estos ataques se lleven a cabo. El problema es que la comunicación entre los dispositivos se mantiene sin cifrado y sin sistema de autenticación.

Ante estos hechos, el Gobierno de Estados Unidos emitió una advertencia a los usuarios por medio de su Agencia de Ciberseguridad.

El resultado de la explotación exitosa de estas vulnerabilidades puede incluir la capacidad de leer y escribir cualquier ubicación de memoria válida en el dispositivo implantado afectado y, por lo tanto, afectar la función prevista del dispositivo.

Al igual que dijeron los investigadores, las autoridades estadounidenses alertaron a la población que el fallo requiere poca habilidad para ser explotado y ofreció una serie de recomendaciones entre las que se encuentran no conectar dispositivos no autorizados a la consola, utilizar solo desfibriladores otorgados por el médico y mantener limitada la conexión solo a la casa o al hospital.

Para Medtronic las cosas no son tan fáciles como se plantean y dijo que para conseguir hackear uno de estos desfibriladores, el atacante necesita tener un conocimiento extenso de los dispositivos, la telemetría médica y la electrofisiología, en caso de querer afectar a un paciente.

El fabricante anunció que liberará una actualización para corregir los fallos y hacer más seguro su sistema, aunque dijo que esta llegará durante el transcurso del 2019 ya que está sujeta a aprobaciones regulatorias.

El fallo de Medtronic es similar al de los marcapasos de Abbot Laboratories que tuvieron que recibir una actualización de firmware ante la posibilidad de ser hackeados por medio de radiofrecuencia.

https://hipertextual.com/2019/03/fallo-permite-hackers-tomar-control-implantes-cardiacos