Un problema de seguridad en algunas bombas de insulina las hace vulnerables a un ciberataque

Las vulnerabilidades en dispositivos médicos ya no son ninguna novedad a estas alturas y, cada cierto tiempo vemos como se reporta un nuevo agujero de seguridad. Sin embargo, hay dos aparatos que suelen estar más afectados que el resto como son los marcapasos y las bombas de insulina. Precisamente de este segundo tipo de dispositivos vamos a hablar, ya que la Agencia del Medicamento de Estados Unidos (FDA por sus siglas en inglés) ha lanzado una alerta a los usuarios de ciertos modelos de bombas de insulina.

Medtronic de nuevo en el punto de mira

Si hace unos meses informábamos de una vulnerabilidad en marcapasos de la empresa Medtronic, ahora les toca el turno a algunos modelos de bombas de insulina de este mismo fabricante. Estamos hablando concretamente de los modelos Medtronic MiniMed 508 insulin pump de la serie MiniMed Paradigm cuyos usuarios ya han sido avisados por el fabricante para proceder a su sustitución por otros modelos más resistentes a un ciberataque.

Al parecer, el agujero de seguridad se encontraría en la comunicación inalámbrica entre las bombas de insulina afectadas y otros dispositivos como los medidores de glucosa en sangre, el control remoto que activa el envío de insulina y el dispositivo Carelink USB que se utiliza en estos dispositivos. La alerta de la FDA hace hincapié en la posibilidad de que alguien se aproveche de las vulnerabilidades descubiertas para conectarse remotamente a una de estas bombas de insulina y cambiar su configuración.

Un ataque de este tipo puede resultar muy peligroso a un usuario de estos dispositivos ya que se podría suministrar una cantidad elevada de insulina, que provocaría una hipoglicemia (baja cantidad de azúcar en sangre), o detener completamente el suministro de insulina, lo que causaría una elevada cantidad de azúcar en sangre y que podría desembocar en una cetoacidosis diabética (acumulación de ácidos en la sangre).

Inseguridad en el sector sanitario

Este tipo de noticias suelen resultar muy llamativas, pero por muy alarmistas que parezcan, el hecho de sufrir un ataque de estas características no deja de ser una posibilidad remota. Sin embargo, el sector sanitario hace años que se enfrenta a graves problemas de seguridad que no están siendo solucionados a la velocidad necesaria y que, además, provoca que sean víctimas de numerosos ataques.

Quizás los más extendidos en este sector sean los provocados por el ransomware. Numerosos casos en los últimos años han demostrado los problemas para los afectados derivados de sufrir un ataque de estas características, desde los causados por WannaCry en el servicio de salud británico hasta incidentes un poco más dirigidos y que exigen cantidades de dinero más elevadas como rescate.

Y es que, a pesar de estos incidentes y de numerosas llamadas de atención (recordemos que los datos de los pacientes almacenados en los hospitales son considerados de elevada importancia) se sigue haciendo muy poco para prevenir todos estos ataques. No estaría de más empezar a plantearse medidas tan básicas como la segmentación de redes para aislar todos aquellos equipos que sean críticos, o cuyo software ya no se actualice, y contar con copias de seguridad de las que echar mano ante una pérdida o cifrado involuntario de la información necesaria para el correcto funcionamiento del centro.

Conclusión

Tal y como siguen las cosas, el panorama relacionado con la ciberseguridad en el sector sanitario y los dispositivos médicos conectados no es especialmente optimista. Se están tomando medidas impulsadas a partir de todos los incidentes que se han venido produciendo en las últimas fechas. Si no se acelera su implementación, seguiremos viendo como este sector es uno de los blancos favoritos de los criminales.

Josep Albors