El secuestro de dispositivos médicos, nuevo objetivo del ciberterrorismo

Javier Armesto Andrés
javier armesto REDACCIÓN / LA VOZ

ACTUALIDAD

OSCAR CELA

Equipos de oncología y radiología han sido ya atacados mediante «ransomware»

26 jul 2017 . Actualizado a las 17:08 h.

El reciente ataque del virus WannaCry mostró cómo la interconexión de los sistemas sanitarios y las débiles prácticas de seguridad informática pueden poner en riesgo las organizaciones sanitarias y a los pacientes. Aunque no fue el primer ataque de ransomware que tenía entre sus objetivos instituciones del área de la salud, este episodio afectó notablemente a los aparatos de radiología con software basado en Windows de dos hospitales estadounidenses.

Investigadores de TrapX Security, un socio de Cisco que desarrolla herramientas de defensa cibernética, advierten que los dispositivos médicos en el punto de mira del ransomware y de otros malware van en aumento. Denominan a este tipo de ataque medjack (un híbrido de medical y hacking), lo que podría traducirse como «secuestro de dispositivos médicos».

Al igual que muchos otros dispositivos del Internet de las Cosas, los aparatos médicos no han sido -ni son, todavía- diseñados o construidos teniendo en cuenta la seguridad. A menudo ejecutan sistemas antiguos y sin parches y rara vez son supervisados por el personal TI (tecnologías de la información) del hospital. Incluso cuando los equipos de seguridad son conscientes de vulnerabilidades, a veces no pueden actuar porque solo el proveedor tiene acceso a esos productos.

En otros casos, los técnicos deben poner el parche en espera porque la actividad hospitalaria no puede permitirse el lujo de dejar fuera de línea (aunque sea por un corto período de tiempo) equipos críticos para la salud de muchas personas, o arriesgarse a que su eficacia se vea comprometida. Y a veces, el fabricante y terceras partes, incluidas las agencias gubernamentales, deben aprobar cualquier modificación que se haga en estos aparatos, lo que puede llevar años. 

Controlar un marcapasos

Según TrapX «los dispositivos médicos se han convertido en un punto clave para que los cibercriminales se muevan lateralmente dentro de las redes de los hospitales». Los atacantes saben que bloqueando estos aparatos con ramsonmware pueden obtener sumas elevadas en forma de rescate. Los más peligrosos también podrían, potencialmente, tomar el control de estos dispositivos -incluidos aquellos que son implantables, como marcapasos y dispositivos de asistencia ventricular (DAV)- y hacer daño a los pacientes. 

Recientemente TrapX investigó un ataque a un sistema de oncología con conocidas vulnerabilidades de Windows XP. Los delincuentes habían infectado tres máquinas (una de las cuales se utilizaba para manejar un potente láser), y convertido una de ellas en un botnet maestro que distribuía malware (una variante del virus Conficker) a través de la red del hospital. 

Otro incidente de medjack afectó a un sistema de resonancia magnética y, de nuevo, aprovechó un fallo de seguridad en Windows XP. Los atacantes obtuvieron datos de pacientes en el sistema, pero pronto se dieron cuenta de la oportunidad de controlar de los sistemas PACS (Picture Archiving Collection System). Un servidor PACS es un sistema de almacenamiento digital, transmisión y descarga de imágenes radiológicas. Las imágenes son transferidas a una estación de trabajo para su visualización y la emisión de informes. La investigación forense del ataque demostró que los delincuentes había sido capaces de operar en la red del hospital impunemente durante más de 10 meses.

Pagar el rescate antes que dejar «offline» una máquina vital

Los ciberataques no solo pueden bloquear equipos críticos para la vida de muchos enfermos; también preocupa que ralenticen el flujo de datos, socavando la capacidad de los médicos para diagnosticar y tratar a los pacientes. 

Redes mal segmentadas

En el pasado, los dispositivos médicos complejos, como sistemas PACS, bombas de infusión y equipos de monitorización, solían tener redes de datos gestionadas por los fabricantes, por lo que estaban aislados físicamente de otras redes. Hoy en día, con el amplio ancho de banda disponible, es más práctico que todos los datos fluyan por la misma red y utilizar una segmentación lógica para separar los distintos tráficos: dispositivos clínicos, redes inalámbricas administrativas e invitadas. Pero si no se hace correctamente, el riesgo de ataques aumenta. 

Debilidad de Windows XP

Windows XP es básico para el funcionamiento de la tecnología en áreas como la atención sanitaria, la energía y otros sectores. Los cibercriminales saben que este sistema operativo es un talón de Aquiles porque ya no tiene soporte oficial por parte de Microsoft (finalizó en el 2014, aunque la versión Windows Embedded Industry continuará recibiendo actualizaciones de seguridad hasta el 2019) y es extremadamente difícil y costoso para las empresas actualizar los dispositivos críticos que ejecutan XP. Por eso estas máquinas son especialmente atractivas como blanco del ransomware: las empresas prefieren pagar el rescate antes que exponerse a que queden fuera de línea o completamente inoperativas

Falta de investigadores

Hay más amenazas que tiempo y personal para investigarlas. Más del 40 % de las entidades sanitarias reconocieron que tienen miles de alertas de seguridad diarias, y solo el 50 % de ellas se investigan. Cuando lo hacen descubren que el 31 % son amenazas legítimas, pero únicamente al 48 % se les pone remedio.