Un grupo de hackers chinos, presuntamente, rob\u00f3 la informaci\u00f3n personal de m\u00e1s de 4.5 millones de pacientes, a trav\u00e9s de dispositivos m\u00e9dicos conectados utilizados en los sistemas de salud de\u00a0Community Health Systems (CHS). Los expertos advirtieron de que esta fuga de datos es una muestra de los riesgos que tiene\u00a0la ausencia de un sistema de seguridad eficiente que proteja los dispositivos en los hospitales.<\/p>\n
\u00bfTe acuerdas de Heartbleed?<\/strong><\/p>\n Una vulnerabilidad muy grave en OpenSSL<\/a>, conocida como Heartbleed, fue descubierta a principios de este a\u00f1o. Afect\u00f3 al mismo tiempo a m\u00e1s de un 60% de Internet y te\u00f3ricamente, daba a los hackers la posibilidad de robar una cantidad determinada de informaci\u00f3n durante las conexiones cliente-servidor. \u00c9ste podr\u00eda ser el primer caso de impacto internacional en el que los criminales explotan una vulnerabilidad de gran envergadura para obtener un beneficio personal. En concreto, los hackers desarrollaron un exploit que les permiti\u00f3 usar Heartbleed para robar los datos de acceso a CHS<\/a>.<\/p>\n \u00bfQui\u00e9nes se han visto afectados por el ataque? \u00bfC\u00f3mo ocurri\u00f3?<\/strong><\/p>\n En concreto, este ataque hizo p\u00fablica la informaci\u00f3n personal (ni m\u00e9dica, ni financiera) de 4,5 millones de pacientes<\/a> que fueron atendidos por m\u00e9dicos afiliados a CHS durante los \u00faltimos cinco a\u00f1os. Aunque entre los datos robados no se encuentra el historial m\u00e9dico de los clientes, si est\u00e1n los n\u00fameros de la seguridad social, lo cual es bastante grave. Adem\u00e1s, los hackers se hicieron con los nombres, direcciones, tel\u00e9fonos y fechas de nacimiento de los pacientes.<\/p>\n La buena noticia en este caso, es que los hackers eran actores de una APT (Amenaza Avanzada Persistente) y probablemente no pretend\u00edan robarlos datos de la seguridad social. De hecho, varios expertos en seguridad de Crowdstrike aseguran que los hackers iban detr\u00e1s de la propiedad intelectual almacenada en los dispositivos m\u00e9dicos que se utilizaba para prestar servicios a la tercera edad en China. En este sentido, el ataque \u201cAPT 18\u201d (tambi\u00e9n conocida como \u201cDynamite Panda\u201d) no tuvo los resultados esperados. Dicho esto, resulta dif\u00edcil imaginar qu\u00e9 har\u00e1n los criminales con toda la informaci\u00f3n que robaron.<\/p>\n Un problema de gran magnitud<\/strong><\/p>\n El robo de informaci\u00f3n en los sistemas m\u00e9dicos es un problema que ata\u00f1e desde hace a\u00f1os y, lamentablemente, no parece que se vaya a encontrar una soluci\u00f3n a corto plazo. \u00bfPor qu\u00e9?<\/p>\n Cuando hablamos de seguridad en dispositivos m\u00e9dicos, tendemos a hablar en t\u00e9rminos un poco extremistas (historias de bombas de insulina y marcapasos hackeados<\/a> remotamente o asesinos que matan o mutilan con ordenadores). La probabilidad de que un paciente tratado con dispositivos m\u00e9dicos conectados sea asesinado por un ordenador port\u00e1til es pr\u00e1cticamente inexistente (como aprend\u00ed en la reciente conferencia Black Hat<\/a>). De hecho, el experto en seguridad Jay Radcliffe, dijo que estos dispositivos m\u00e9dicos conectados hacen m\u00e1s bien que mal<\/a>.<\/p>\n El problema, por el momento, parece ser m\u00e1s bien sist\u00e9mico. Est\u00e1 relacionado con la forma en que los m\u00e9dicos, hospitales y dispositivos m\u00e9dicos almacenan y comparten datos\/informaci\u00f3n. Como se se\u00f1al\u00f3 en una conversaci\u00f3n con Radcliffe, la situaci\u00f3n m\u00e1s probable en la que la seguridad personal de un paciente puede verse en peligro, como consecuencia de un dispositivo m\u00e9dico conectado, ser\u00eda si el paciente recibe un tratamiento equivocado debido a que su historial m\u00e9dico fue manipulado (ya sea a ra\u00edz de un ataque o por accidente).<\/p>\n