La medicina en el punto de mira: cómo hackear un hospital

En el SAS 2016, Sergey Lozhkin reveló cómo hackeó el hospital y el equipo hospitalario de un amigo.

Es inevitable que en algún momento nos pongamos enfermos o suframos algún daño o fractura que nos obligue a ir al hospital bajo el cuidado de un médico o un equipo de médicos. Aunque los años de estudio y la práctica nos hacen confiar en los médicos, también nos vemos obligados a depositar nuestra confianza en los dispositivos médicos de alta tecnología que ayudan a identificar o tratar nuestras dolencias. Por lo tanto, también tenemos que confiar nuestra seguridad y bienestar a los creadores y desarrolladores del hardware y el software de los equipos médicos que utilizan los doctores, además de a los administradores que ajustan estos sistemas.

Con el paso de los años, el equipo médico es cada vez más complejo y está más interconectado, y los hospitales cuentan cada vez con más dispositivos de este tipo. Todos estos sensores y máquinas inteligentes requieren de un complejo software. Aunque la seguridad cibernética no suele estar entre las principales prioridades de los fabricantes de equipos médicos, estos dispositivos también tienen agujeros de seguridad. Y, si estos tienen bugs y vulnerabilidades, podrán ser hackeados. Pero, ¿es muy peligroso el hackeo de un hospital?

¿Qué puede pasar si un hospital es hackeado?

La respuesta es: de todo.

En primer lugar, los cibercriminales pueden aprovechar las vulnerabilidades del software para robar los datos de los pacientes o infectar la red con malware (aunque esto no es lo peor que puede pasar).

Los hackers también pueden alterar los datos del registro electrónico de salud de los pacientes: enfermar a una persona sana, o viceversa, o cambiar los resultados de las pruebas o la dosis de los medicamentos, pudiendo dañar seriamente la salud de los pacientes. También es posible reajustar los dispositivos médicos de forma errónea, y con ello, dañar equipos muy caros, con lo que, de nuevo, se podría poner en peligro a los pacientes que se sometan a tratamiento en el que intervenga alguna de estas máquinas.

De la teoría a la práctica

En el Security Analyst Summit 2016, el experto de Kaspersky Lab, Sergey Lozhkin, reveló los detalles sobre cómo consiguió hackear un hospital.

Un día, mientras Lozhkin estaba utilizando Shodan (un motor de búsqueda de Internet de las cosas), se topó con el equipo médico de un hospital que le pareció familiar y que resultó ser de un amigo suyo. Lozhkin explicó la situación a su amigo, y ambos decidieron llevar a cabo en secreto una prueba de penetración para comprobar la seguridad del hospital, en la que descubrieron que era posible hackearlo.

Ambos acordaron que nadie debía saber nada acerca de esta prueba, a excepción de los altos directivos. Estos últimos asegurarían a los pacientes reales y sus datos de cualquier daño que pudiera causar el “hacker”.

El primer intento fracasó: Sergey no pudo hackaear el hospital de forma remota, ya que, en este caso, los administradores del sistema funcionaban perfectamente.

Pero, cuando Sergey llegó al hospital, descubrió que podía conectarse a la wifi local, que no estaba configurada correctamente. Consiguió hackear la clave de red y acceder a prácticamente todo lo que estaba conectado a esta, incluyendo una serie de dispositivos de almacenamiento y análisis de datos. El dispositivo que más llamó la atención de Sergey fue un caro escáner tomográfico, al que también pudo acceder desde la red local. Este dispositivo almacenaba una gran cantidad de información sobre diferentes pacientes ficticios (la administración había protegido los datos reales previamente).

Al explotar una vulnerabilidad de la aplicación, Sergey accedió a los archivos del sistema y, en consecuencia, a toda la información disponible en el escáner. Si Sergey hubiera sido un cibercriminal real, en esta situación habría podido hacer cualquier cosa: cambiar, robar o destruir información, e incluso inhabilitar el escáner tomográfico.

Como medida temporal, Lozhkin recomendó la contratación de un administrador de sistemas competente, alguien que no conectara nunca el escáner tomográfico y otros importantes dispositivos a la red pública. Pero esto no soluciona el problema, ya que los primeros culpables son los desarrolladores de estas máquinas. Estos deberían tener más en cuenta la seguridad cibernética de sus productos.

¿A quién deberíamos culpar y qué deberíamos hacer al respecto?

El informe de Lozhkin demuestra la falta de ciberseguridad en los equipos médicos y la necesidad de hacer más al respecto. Hay dos grupos de personas que deberían alarmarse por esta cuestión: los desarrolladores de equipos médicos y los consejo de administración de los hospitales.

Los desarrolladores deberían comprobar la seguridad de sus dispositivos, buscar vulnerabilidades y asegurarse de parchear a tiempo los errores. Los administradores deberían preocuparse más por la seguridad de sus redes y asegurarse de que ningún equipo crítico de su infraestructura esté conectado a una red pública.

Ambos grupos realmente deberían realizar inspecciones de seguridad cibernética. En el caso de los hospitales, se deberían realizar pruebas de penetración; en el caso de los desarrolladores, deberían realizar todas las pruebas de seguridad pertinentes antes de la distribución comercial de sus productos.

Consejos