{"id":8507,"date":"2016-06-17T12:42:39","date_gmt":"2016-06-17T12:42:39","guid":{"rendered":"https:\/\/kasperskydaily.com\/spain\/?p=8507"},"modified":"2019-11-22T11:17:08","modified_gmt":"2019-11-22T09:17:08","slug":"vulnerable-medical-equipment","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/vulnerable-medical-equipment\/8507\/","title":{"rendered":"Ponerse enfermo tiene doble peligro: el equipamiento m\u00e9dico es vulnerable a los hackers"},"content":{"rendered":"<p><b>Casi todo ciberataque tiene un objetivo: robarle el dinero a alguien<\/b>. Aun as\u00ed, ya que una gran variedad de equipamientos est\u00e1n siendo conectados, un dispositivo con errores puede acarrear consecuencias m\u00e1s graves que la p\u00e9rdida de dinero. \u00bfQu\u00e9 hay de la vida y la salud humanas?<\/p>\n<p style=\"text-align: left\">Hablemos de los <a href=\"https:\/\/www.kaspersky.es\/blog\/blackhat-jeep-cherokee-hack-explained\/6552\/\" target=\"_blank\" rel=\"noopener\">coches conectados<\/a>, un ejemplo perfecto de c\u00f3mo un dispositivo puede suponer un riesgo de vida o muerte. Alguien con malas intenciones podr\u00eda tomar el control de un coche autom\u00e1tico y causar un accidente. El equipamiento m\u00e9dico inteligente tambi\u00e9n corre peligro. Los dispositivos dise\u00f1ados para mantenernos sanos tambi\u00e9n pueden usarse para lo contrario.<\/p>\n<p style=\"text-align: left\">Hasta la fecha, no conocemos ning\u00fan caso documentado de equipamiento m\u00e9dico comprometido que haya herido directamente la salud humana. Aun as\u00ed, los expertos a menudo encuentran m\u00e1s y m\u00e1s vulnerabilidades nuevas en los dispositivos m\u00e9dicos, incluyendo los <i>bugs<\/i> que podr\u00edan usarse para causar da\u00f1os f\u00edsicos graves.<\/p>\n<p style=\"text-align: left\">Robar dinero y hacer da\u00f1o a las personas son acciones diferentes, cabr\u00eda esperar que los <i>hackers<\/i> optaran por no dar este paso por razones \u00e9ticas. Pero, lo m\u00e1s probable es que los delincuentes no hayan querido <i>hackear<\/i> dispositivos m\u00e9dicos simplemente porque (a\u00fan) no saben c\u00f3mo sacar provecho de dichos ataques.<\/p>\n<p style=\"text-align: left\">De hecho, los ciberdelincuentes han atacado repetidamente hospitales con troyanos y otros <i>malware<\/i>. Por ejemplo, a principios de este a\u00f1o hubo varias infecciones de <i>malware<\/i> en diferentes centros m\u00e9dicos de EE.UU., <a href=\"https:\/\/www.kaspersky.es\/blog\/locky-ransomware\/8015\/\" target=\"_blank\" rel=\"noopener\">entre los que se incluye<\/a> el Hollywood Presbyterian Medical Center de Los Angeles.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\"><a href=\"https:\/\/twitter.com\/hashtag\/Hospital?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#Hospital<\/a> aprende por las malas que no hay que pagar por el rescate de archivos <a href=\"https:\/\/t.co\/J2sQJlbvod\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/J2sQJlbvod<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/ransomware?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#ransomware<\/a> <a href=\"https:\/\/t.co\/bYKBC3dOYk\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/bYKBC3dOYk<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/738649052858945536?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 3, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>El hospital de Los Angeles pag\u00f3 17.000 d\u00f3lares para recuperar sus archivos. Aun as\u00ed, cuando el Hospital Kansas Heart trat\u00f3 de hacer lo mismo, los delincuentes no les devolvieron los archivos y, en lugar de ello, <a href=\"https:\/\/www.kaspersky.es\/blog\/why-you-dont-pay-ransomware\/8398\/\" target=\"_blank\" rel=\"noopener\">pidieron<\/a> m\u00e1s dinero. Como puedes ver, no podemos confiar en los imperativos \u00e9ticos para detener a los delincuentes: a algunos siempre les complacer\u00e1 atacar establecimientos m\u00e9dicos con tal de ganar dinero f\u00e1cil.<\/p>\n<p lang=\"es-ES\">El equipamiento m\u00e9dico est\u00e1 sometido a inspecciones y certificados, pero solo como dispositivo m\u00e9dico y no como tecnolog\u00eda inform\u00e1tica conectada. Por supuesto, se recomienda cumplir con los requerimientos de ciberseguridad, pero recae sobre el criterio del vendedor. Como resultado, muchos dispositivos en hospitales presentan errores t\u00edpicos que los especialistas inform\u00e1ticos conocen desde hace tiempo.<\/p>\n<p lang=\"en-GB\"><span lang=\"es-ES\">La <a href=\"https:\/\/es.wikipedia.org\/wiki\/Administraci%C3%B3n_de_Alimentos_y_Medicamentos\" target=\"_blank\" rel=\"noopener nofollow\">agencia federal estadounidense de Drogas y Medicamentos<\/a> regula la venta de los equipamientos m\u00e9dicos y su certificaci\u00f3n. Para tratar de adaptarse al medio conectado que est\u00e1 en constante evoluci\u00f3n, <a href=\"http:\/\/www.reuters.com\/article\/us-cybersecurity-medicaldevices-insight-idUSKCN0IB0DQ20141022\" target=\"_blank\" rel=\"noopener nofollow\">public\u00f3<\/a> una gu\u00eda para los fabricantes y el personal sanitario para proteger mejor los dispositivos m\u00e9dicos. A principios de 2016, se public\u00f3 el borrador de un documento hermano, pero todas las medidas ofrecidas son <a href=\"http:\/\/www.fda.gov\/medicaldevices\/digitalhealth\/ucm373213.htm\" target=\"_blank\" rel=\"noopener nofollow\">recomendaciones<\/a>. Por lo que<strong> todav\u00eda <\/strong><\/span><strong><span lang=\"es-ES\">no es obligatorio<\/span><\/strong><span lang=\"es-ES\"> proteger los dispositivos m\u00e9dicos que son cr\u00edticos para salvar vidas humanas.<\/span><\/p>\n<h3>Negligencia mortal<\/h3>\n<p>Los fabricantes de los equipamientos pueden pedir ayuda a los expertos en ciberseguridad, pero en realidad, a menudo hacen\u00a0 lo contrario y rechazan prestar sus dispositivos para que sean verificados. Los expertos tienen que comprar por su cuenta equipamiento de segunda mano para comprobar la protecci\u00f3n de estos. Por ejemplo, <a href=\"https:\/\/twitter.com\/XSSniper\" target=\"_blank\" rel=\"noopener nofollow\">Billy Rios<\/a>, que <a href=\"https:\/\/www.kaspersky.es\/blog\/internet-de-las-cosas-inutiles\/5423\/\" target=\"_blank\" rel=\"noopener\">conoce muy bien los dispositivos conectados<\/a>, tanto interna como externamente, a veces tambi\u00e9n examina dispositivos m\u00e9dicos.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"es\" dir=\"ltr\">C\u00f3mo hackear un <a href=\"https:\/\/twitter.com\/hashtag\/hospital?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hospital<\/a> <a href=\"https:\/\/t.co\/yRmcJ7pFmf\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/yRmcJ7pFmf<\/a> via <a href=\"https:\/\/twitter.com\/TecnoExplora?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@TecnoExplora<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/hacking?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hacking<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/salud?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#salud<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/IoT?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#IoT<\/a> <a href=\"https:\/\/t.co\/QaA2zYWmHK\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/QaA2zYWmHK<\/a><\/p>\n<p>\u2014 Kaspersky Espa\u00f1a (@KasperskyES) <a href=\"https:\/\/twitter.com\/KasperskyES\/status\/714849967257550849?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">March 29, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Hace unos dos a\u00f1os, Rios prob\u00f3 <a href=\"https:\/\/en.wikipedia.org\/wiki\/Infusion_pump\" target=\"_blank\" rel=\"noopener nofollow\">las bombas de infusi\u00f3n<\/a> de Hospira que se distribuyen a miles de hospitales del mundo. Los resultados fueron alarmantes: las bombas de inyecci\u00f3n de medicaci\u00f3n <a href=\"https:\/\/www.kaspersky.es\/blog\/drug-pump-security-bugs\/6041\/\" target=\"_blank\" rel=\"noopener\">le permitieron<\/a> cambiar la configuraci\u00f3n y aumentar el l\u00edmite de la dosis. Como resultado, los malhechores podr\u00edan causar que a los pacientes se les inyecte dosis mayores o menores de medicina. Ir\u00f3nicamente, estos dispositivos fueron anunciados como a prueba de errores.<\/p>\n<p lang=\"es-ES\">Otro dispositivo vulnerable que Rios encontr\u00f3 fue Pyxis SupplyStation, producido por la compa\u00f1\u00eda CareFusion. Este dispositivo se utiliza para dispensar suministros m\u00e9dicos y facilitar la gesti\u00f3n de las cuentas. En 2014, Rios encontr\u00f3 un <em>bug <\/em>que permit\u00eda a cualquiera acceder al sistema.<\/p>\n<p lang=\"es-ES\">En 2016, Rios volvi\u00f3 a analizar la Pyxis SuplyStation, esta vez junto a su compa\u00f1ero experto en seguridad Mike Ahmadi. El d\u00fao descubri\u00f3 <a href=\"https:\/\/threatpost.com\/1400-vulnerabilities-to-remain-unpatched-in-medical-supply-system\/117089\/\" target=\"_blank\" rel=\"noopener nofollow\">m\u00e1s de 1.400 vulnerabilidades<\/a>, la mitad de las cuales consideradas muy peligrosas. Aunque los desarrolladores de terceras partes eran los culpables de un gran n\u00famero de los <em>bugs<\/em>, y los expertos analizaron un modelo antiguo de Pyxis SupplyStation, dichas vulnerabilidades siguen siendo muy problem\u00e1ticas.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Ponerse enfermo tiene doble peligro: el equipamiento m\u00e9dico es vulnerable a los hackers<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Frh8Z&amp;text=%3Cspan+lang%3D%22es-ES%22%3EPonerse+enfermo+tiene+doble+peligro%3A+el+equipamiento+m%C3%A9dico+es+vulnerable+a+los+%3C%2Fspan%3E%3Cspan+lang%3D%22es-ES%22%3Ehackers%3C%2Fspan%3E\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>La cuesti\u00f3n es que estas soluciones ya ten\u00edan fecha de caducidad, y a pesar de su extendido uso, los desarrolladores no facilitaron ning\u00fan parche. En su lugar, CareFusion recomend\u00f3 a sus clientes que actualizaran a las nuevas versiones de su equipamiento. Las organizaciones que no quisieron actualizar recibieron una lista de consejos para minimizar el riesgo de que se comprometieran dichos sistemas.<\/p>\n<p lang=\"es-ES\">Actualizar equipamientos antiguos es dif\u00edcil, y caro. Pero, por ejemplo, Microsoft ya hab\u00eda abandonado el sistema operativo instalado en los dispositivos, dej\u00e1ndolos vulnerables. Las \u00faltimas versiones de la Pyxis SupplyStation funcionan con Windows 7 o posterior y no son vulnerables a esos<em> bugs<\/em>.<\/p>\n<p lang=\"en-GB\"><span lang=\"es-ES\">Kaspersky Lab tambi\u00e9n <a href=\"https:\/\/www.kaspersky.es\/blog\/hacked-hospital\/7727\/\" target=\"_blank\" rel=\"noopener\">proporcion\u00f3<\/a> pruebas ciberestructurales para los hospitales: nuestro experto Sergey Lozhkin fue invitado a formar parte del experimento y <\/span><span lang=\"es-ES\">hackear<\/span><span lang=\"es-ES\"> equipamiento m\u00e9dico, incluido un <a href=\"https:\/\/es.wikipedia.org\/wiki\/Tomograf%C3%ADa\" target=\"_blank\" rel=\"noopener nofollow\">esc\u00e1ner tomogr\u00e1fico<\/a>. <\/span><\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">How I hacked my <a href=\"https:\/\/twitter.com\/hashtag\/hospital?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#hospital<\/a> \u2013 <a href=\"https:\/\/t.co\/qhKfT636F5\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/qhKfT636F5<\/a> from <a href=\"https:\/\/twitter.com\/61ack1ynx?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@61ack1ynx<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/healthcare?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#healthcare<\/a> <a href=\"https:\/\/t.co\/SPES9tPnsw\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/SPES9tPnsw<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/697498654731534337?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">February 10, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Por supuesto, los casos anteriores fueron experimentos para probar la facilidad con la que los delincuentes podr\u00edan hacerlo si quisieran, \u00a1no para causar ning\u00fan da\u00f1o real!<\/p>\n<h3><b>\u00bfA qui\u00e9n hay que culpar y qu\u00e9 deber\u00edamos hacer?<\/b><\/h3>\n<p>La vida de los dispositivos m\u00e9dicos es mucho mayor que la de tu <i>smartphone<\/i>. Varias d\u00e9cadas de uso de un equipamiento caro no es, para nada, un largo per\u00edodo. Adem\u00e1s, aunque los \u00faltimos dispositivos son menos vulnerables que los desfasados, con el tiempo y sin el soporte adecuado llegar\u00e1n a tener tantos fallos como sus hom\u00f3logos antiguos.<\/p>\n<p>Como explica Mike Ahmadi: \u201ccreo que es razonable que el vendedor de un dispositivo m\u00e9dico tenga estipulado el tiempo de vida de sus dispositivos y que tenga estipulado el fin de la ciberseguridad para sus dispositivos\u201d.<\/p>\n<p>El <i>hackeo<\/i> de la Pyxis SypplyStation tambi\u00e9n tiene su parte buena. Es cierto que los desarrolladores ignoraron los primeros <i>bugs<\/i> que Rios descubri\u00f3, pero luego, la corporaci\u00f3n Becton Dickinson compr\u00f3 la compa\u00f1\u00eda y la nueva gerencia ve a los ciberexpertos de forma diferente. Quiz\u00e1 en el futuro las compa\u00f1\u00edas presten m\u00e1s atenci\u00f3n de la que prestan ahora para que sus dispositivos est\u00e9n a prueba de errores. Y puede que incluso hagan pruebas de vulnerabilidad a los nuevos dispositivos <i>antes<\/i> de que salgan a la venta.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los equipamientos m\u00e9dicos hackeados pueden costar la salud o la vida a los pacientes<\/p>\n","protected":false},"author":1654,"featured_media":8509,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[184,1880,1879,57,22,1614,401,784],"class_list":{"0":"post-8507","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cifrado","9":"tag-equipo-medico","10":"tag-hospitales","11":"tag-internet","12":"tag-malware-2","13":"tag-medicina","14":"tag-ransomware","15":"tag-vulnerabilidades"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/vulnerable-medical-equipment\/8507\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/vulnerable-medical-equipment\/5489\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/vulnerable-medical-equipment\/3857\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/vulnerable-medical-equipment\/7314\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/vulnerable-medical-equipment\/7342\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/vulnerable-medical-equipment\/7291\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/vulnerable-medical-equipment\/8404\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/vulnerable-medical-equipment\/12252\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/vulnerable-medical-equipment\/2208\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/vulnerable-medical-equipment\/12385\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/vulnerable-medical-equipment\/5770\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerable-medical-equipment\/6377\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/vulnerable-medical-equipment\/7961\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/vulnerable-medical-equipment\/11781\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/vulnerable-medical-equipment\/12252\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/vulnerable-medical-equipment\/12385\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/vulnerable-medical-equipment\/12385\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/cifrado\/","name":"cifrado"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8507","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/1654"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=8507"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8507\/revisions"}],"predecessor-version":[{"id":20141,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/8507\/revisions\/20141"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/8509"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=8507"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=8507"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=8507"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}