Los marcapasos de la empresa Medtronic -se sabe- no tienen ningún esquema de encripción para asegurarse que las actualizaciones de su firmware sean verificadas y esto podría, potencialmente, hacer que los hackers instalaran remotamente software malicioso que pudiese amenazar la vida de los pacientes, indicaron investigadores de la seguridad informática.
En la conferencia “Black Hat”, de seguridad informática, que se lleva a cabo en Las Vegas, Nevada, los investigadores Billy Ríos y Jonathan Butts, dijeron que ya habían advertido a Medtronic sobre ciertas vulnerabilidades en el 2017. De hecho, para probar sus asertos, demostraron ahora un hackeo que compromete el programador CareLink 2009, un dispositivo que usan los doctores para controlar los marcapasos que implantan en sus pacientes.
El problema es que el programador no manda conexiones cifradas por HTTPs y además, el firmware no está firmado digitalmente, los investigadores fueron capaces de ejecutar un programa malicioso en el firmware que sería muy difícil detectar por los médicos. A partir de esto, los investigadores dijeron que el marcapasos comprometido podría enviar señales equivocadas al corazón, lo que podría poner en riesgo la vida de los pacientes.
“La respuesta del fabricante es muy pobre”, dijo Ríos. “No estamos hablando de un videojuego en línea donde se pueden modificar las puntuaciones más altas de forma ilegal”. En un correo por parte de Medtronic, el representante indicó que existen controles para mitigar el problema planteado, Ríos y Butts no están de acuerdo y dicen que su hackeo se mantiene viable.
Un hackeo en particular explota las vulnerabilidades de los sistemas servidores de software que Medtronic usa en su red interna. Examinando la manera en el que el programador se comunica con sus dispositivos, Ríos y Butts fueron capaces de entender cómo un hacker podría unirse a una red privada virtual y modificar maliciosamente el proceso de actualización. Debido a que el hackeo compromete los servidores usados en la producción y que son propiedad de Medtronic, los investigadores jamás intentaron meterse a estos sistemas por los consecuentes problemas legales. El jueves pasado en su demostración, comprometieron un programador que compraron en eBay por lo que no hubo ningún paciente real que estuviese en riesgo.
Ríos, quien trabaja en la firma de seguridad WhiteScope, y Butts, de QED Secure Solutions, demostraron un hackeo separado ese mismo jueves, contra una bomba de insulina de Medtronic. Usando un hackeo de RF (radio frecuencia) de 200 dólares, mandaron instrucciones a la bomba para mandar dosis de insulina a placer cuando ellos quisieran.
Medtronic indicó que el hackeo a su bomba de insulina trabaja solamente en las bombas antiguas y solamente cuando se cambia la configuración inicial a la posibilidad de poder tener funciones remotas. El representante dijo que el hackeo contra los marcapasos ya ha sido tomado en cuenta y Medtronic ha trabajado en el siguiente comunicado:
“El año pasado la firma de seguridad WhiteScope notificó a Medtronic las vulnerabilidades potenciales del programador CareLink 2090, así como de su red que contiene el software para enviar las actualizaciones de software. Hemos medido el potencial de las vulnerabilidades y tuvimos ya un consejo de ICS-CERT a partir de febrero, en donde fue revisado el cambio para protegernos del problema, aprobado por la FDA, ICS-CERT y WhiteScope, inclusive.
En el boletín de seguridad de Medtronic, comunicamos que nuestros controles de seguridad mitigan la dificultad. Desde entonces, hemos hecho actualizaciones técnicas en donde estos servicios hospedados tiene controles de seguridad más fuertes.
Medtronic recomienda a sus clientes que sigan las guías de seguridad del manual de referencia del programador Medtronic 2090 CareLink. Esta guía incluye el mantenimiento físico de los controles del sistema y teniendo un entorno físico seguro, se previene el acceso al programador (de forma ilegal). Además, el programador 2090 debería conectarse a una red segura de cómputo. Si esto no es posible, el programador debería desconectarse de la red, sin que haya impacto en este sistema por ello, y las actualizaciones tendrían entonces que hacerse directamente con un representante de Medtronic.
Medtronic está comprometido con la transparencia y la colaboración de sus socios de negocios y de la comunidad regulatoria. Soportamos la guía que nos dé la FDA en este sentido”.
Ríos y Butts sin embargo, continúan criticando a Medtronic por la cantidad de tiempo que ha pasado desde que les avisaron de las vulnerabilidades y concluyen: “En este momento, como investigadores de seguridad, creemos que los beneficios de estos implantes médicos sobrepasan sus riesgos. Sin embargo, cuando los fabricantes actúan como Medtronic, es difícil confiar en ellos”.