Especialistas en seguridad informática reporta la detección de tres vulnerabilidades en MRI 1.5T y MRI 3T, dos máquinas de resonancia magnética desarrolladas por la compañía tecnológica Philips. Según los reportes, las fallas podrían ser explotadas para comprometer funciones vitales en los sistemas afectados, sin mencionar que hasta el momento no hay actualizaciones conocidas.
Es inevitable que en algún momento nos enfermemos o suframos algún daño o fractura que nos obligue a ir al hospital bajo el cuidado de un médico o un equipo de médicos. Aunque los años de estudio y la práctica nos hacen confiar en los médicos, también nos vemos obligados a depositar nuestra confianza en los dispositivos médicos de alta tecnología que ayudan a identificar o tratar nuestras dolencias. Por lo tanto, también tenemos que confiar nuestra seguridad y bienestar a los creadores y desarrolladores del hardware y el software de los equipos médicos que utilizan los doctores, además de a los administradores que ajustan estos sistemas.
Con el paso de los años, el equipo médico es cada vez más complejo y está más interconectado, y los hospitales cuentan cada vez con más dispositivos de este tipo. Todos estos sensores y máquinas inteligentes requieren de un complejo software. Aunque la seguridad cibernética no suele estar entre las principales prioridades de los fabricantes de equipos médicos, estos dispositivos también tienen agujeros de seguridad. Y, si estos tienen bugs y vulnerabilidades, podrán ser hackeados.
A continuación, se presentan breves descripciones de las vulnerabilidades reportadas, además de sus respectivas claves de identificación y puntajes asignados por el Common Vulnerability Scoring System (CVSS).
CVE-2021-3083: Las restricciones de acceso inadecuadas permiten a los actores de amenazas locales evadir las restricciones de seguridad en MRI 1.5T y 3T y así acceder a información confidencial en el sistema.
La falla recibió un puntaje CVSS de 5.7/10 y su explotación permitiría a los actores de amenazas obtener acceso no autorizado a funciones restringidas.
CVE-2021-3085: Las soluciones afectadas pueden asignar un propietario que está fuera de la esfera de control prevista a un recurso, lo que un hacker malicioso con acceso local puede aprovechar para obtener información potencialmente confidencial.
Esta es una vulnerabilidad de baja severidad y recibió un puntaje CVSS de 5.7/10.
CVE-2021-3084: La salida excesiva de datos desde las implementaciones afectadas permitiría a los actores de amenazas con acceso local obtener acceso no autorizado a información confidencial en el sistema afectado.
La vulnerabilidad recibió un puntaje CVSS de 5.7/10.
Según el reporte, las fallas detectadas residen en las siguientes versiones de los productos Philips afectados:
- MRI 1.5T v5.0
- MRI 3T v5.0
Aunque hasta el momento no se han detectado intentos de explotación activa relacionados con estas fallas, es importante recordar que no hay parches disponibles. Se recomienda a los centros de salud donde se usan las máquinas vulnerables mantenerse en contacto con el proveedor a fin de encontrar las mejores medidas de seguridad.
Un experto de Kaspersky Lab, reveló los detalles sobre cómo logró hackear un hospital.
El ejercicio fue, durante un día mientras quien realizaba el ejercicio estaba utilizando Shodan (un motor de búsqueda de Internet de las cosas), se topó con el equipo médico de un hospital que le pareció familiar y que resultó ser de un amigo suyo. Le explicó la situación a su amigo, y ambos decidieron llevar a cabo en secreto una prueba de penetración para comprobar la seguridad del hospital, en la que descubrieron que era posible hackearlo.
Ambos acordaron que nadie debía saber nada acerca de esta prueba, a excepción de los altos directivos. Estos últimos asegurarían a los pacientes reales y sus datos de cualquier daño que pudiera causar el “hacker”.
Sin embargo, el ejercicio se amplió y se realizó estando en el hospital, descubrió que podía conectarse al WiFi local, que no estaba configurado correctamente. Consiguió hackear la clave de red y acceder a prácticamente todo lo que estaba conectado a esta, incluyendo una serie de dispositivos de almacenamiento y análisis de datos. El dispositivo que más llamó la atención fue un caro escáner tomográfico, al que también pudo acceder desde la red local. Este dispositivo almacenaba una gran cantidad de información sobre diferentes pacientes ficticios (la administración había protegido los datos reales previamente).
Al explotar una vulnerabilidad de la aplicación, accedió a los archivos del sistema y, en consecuencia, a toda la información disponible en el escáner. Si quien llevo a cabo el ejercicio hubiera sido un cibercriminal real, en esta situación habría podido hacer cualquier cosa: cambiar, robar o destruir información, e incluso inhabilitar el escáner tomográfico.
Como medida temporal, se recomendó la contratación de un administrador de sistemas competente, alguien que no conectara nunca el escáner tomográfico y otros importantes dispositivos a la red pública. Pero esto no soluciona el problema, ya que los primeros culpables son los desarrolladores de estas máquinas. Estos deberían tener más en cuenta la seguridad cibernética de sus productos.
El informe del ejercicio demuestra la falta de ciberseguridad en los equipos médicos y la necesidad de hacer más al respecto. Hay dos grupos de personas que deberían alarmarse por esta cuestión: los desarrolladores de equipos médicos y el consejo de administración de los hospitales.
Los desarrolladores deberían comprobar la seguridad de sus dispositivos, buscar vulnerabilidades y asegurarse parchear a tiempo los errores. Los administradores deberían preocuparse más por la seguridad de sus redes y asegurarse de que ningún equipo crítico de su infraestructura esté conectado a una red pública.
Ambos grupos realmente deberían realizar inspecciones de seguridad cibernética. En el caso de los hospitales, se deberían realizar pruebas de penetración; en el caso de los desarrolladores, deberían realizar todas las pruebas de seguridad pertinentes antes de la distribución comercial de sus productos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Referencias
Esage G, Alisa, 3 Vulnerabilidades sin corregir en las maquinas Philips MRI 1.5T y 3T permiten el robo de información confidencial de salud, Noticias de Seguridad Informática, https://noticiasseguridad.com/vulnerabilidades/3-vulnerabilidades-sin-corregir-en-las-maquinas-philips-mri-1-5t-y-3t-permiten-el-robo-de-informacion-confidencial-de-salud/
Snow, John, La medicina en el punto de mira: cómo hackear un hospital, Kaspersky, recuperado: https://latam.kaspersky.com/blog/hacked-hospital/6680/
