Connect with us

Hi, what are you looking for?

Tecnología

Código malicioso, potencialmente mortal, en marcapasos cardiacos: una espantosa posibilidad

Los marcapasos de la empresa Medtronic -se sabe- no tienen ningún esquema de encripción para asegurarse que las actualizaciones de su firmware sean verificadas y esto podría, potencialmente, hacer que los hackers instalaran remotamente software malicioso que pudiese amenazar la vida de los pacientes, indicaron investigadores de la seguridad informática.

En la conferencia “Black Hat”, de seguridad informática, que se lleva a cabo en Las Vegas, Nevada, los investigadores Billy Ríos y Jonathan Butts, dijeron que ya habían advertido a Medtronic sobre ciertas vulnerabilidades en el 2017. De hecho, para probar sus asertos, demostraron ahora un hackeo que compromete el programador CareLink 2009, un dispositivo que usan los doctores para controlar los marcapasos que implantan en sus pacientes.

Cómo hemos pasado de las “fake news” a la manipulación

El problema es que el programador no manda conexiones cifradas por HTTPs y además, el firmware no está firmado digitalmente, los investigadores fueron capaces de ejecutar un programa malicioso en el firmware que sería muy difícil detectar por los médicos. A partir de esto, los investigadores dijeron que el marcapasos comprometido podría enviar señales equivocadas al corazón, lo que podría poner en riesgo la vida de los pacientes.

“La respuesta del fabricante es muy pobre”, dijo Ríos. “No estamos hablando de un videojuego en línea donde se pueden modificar las puntuaciones más altas de forma ilegal”. En un correo por parte de Medtronic, el representante indicó que existen controles para mitigar el problema planteado, Ríos y Butts no están de acuerdo y dicen que su hackeo se mantiene viable.

Un hackeo en particular explota las vulnerabilidades de los sistemas servidores de software que Medtronic usa en su red interna. Examinando la manera en el que el programador se comunica con sus dispositivos, Ríos y Butts fueron capaces de entender cómo un hacker podría unirse a una red privada virtual y modificar maliciosamente el proceso de actualización. Debido a que el hackeo compromete los servidores usados en la producción y que son propiedad de Medtronic, los investigadores jamás intentaron meterse a estos sistemas por los consecuentes problemas legales. El jueves pasado en su demostración, comprometieron un programador que compraron en eBay por lo que no hubo ningún paciente real que estuviese en riesgo.

Ríos, quien trabaja en la firma de seguridad WhiteScope, y Butts, de QED Secure Solutions, demostraron un hackeo separado ese mismo jueves, contra una bomba de insulina de Medtronic. Usando un hackeo de RF (radio frecuencia) de 200 dólares, mandaron instrucciones a la bomba para mandar dosis de insulina a placer cuando ellos quisieran.

Medtronic indicó que el hackeo a su bomba de insulina trabaja solamente en las bombas antiguas y solamente cuando se cambia la configuración inicial a la posibilidad de poder tener funciones remotas. El representante dijo que el hackeo contra los marcapasos ya ha sido tomado en cuenta y Medtronic ha trabajado en el siguiente comunicado:

“El año pasado la firma de seguridad WhiteScope notificó a Medtronic las vulnerabilidades potenciales del programador CareLink 2090, así como de su red que contiene el software para enviar las actualizaciones de software. Hemos medido el potencial de las vulnerabilidades y tuvimos ya un consejo de ICS-CERT a partir de febrero, en donde fue revisado el cambio para protegernos del problema, aprobado por la FDA, ICS-CERT y WhiteScope, inclusive.

En el boletín de seguridad de Medtronic, comunicamos que nuestros controles de seguridad mitigan la dificultad. Desde entonces, hemos hecho actualizaciones técnicas en donde estos servicios hospedados tiene controles de seguridad más fuertes.

Medtronic recomienda a sus clientes que sigan las guías de seguridad del manual de referencia del programador Medtronic 2090 CareLink. Esta guía incluye el mantenimiento físico de los controles del sistema y teniendo un entorno físico seguro, se previene el acceso al programador (de forma ilegal). Además, el programador 2090 debería conectarse a una red segura de cómputo. Si esto no es posible, el programador debería desconectarse de la red, sin que haya impacto en este sistema por ello, y las actualizaciones tendrían entonces que hacerse directamente con un representante de Medtronic.

Medtronic está comprometido con la transparencia y la colaboración de sus socios de negocios y de la comunidad regulatoria. Soportamos la guía que nos dé la FDA en este sentido”.

Ríos y Butts sin embargo, continúan criticando a Medtronic por la cantidad de tiempo que ha pasado desde que les avisaron de las vulnerabilidades y concluyen: “En este momento, como investigadores de seguridad, creemos que los beneficios de estos implantes médicos sobrepasan sus riesgos. Sin embargo, cuando los fabricantes actúan como Medtronic, es difícil confiar en ellos”.

La entrada Código malicioso, potencialmente mortal, en marcapasos cardiacos: una espantosa posibilidad se publicó primero en unocero.

Click to comment

Comenta

Últimas noticias

Automóvil con parabrisas fracturado en Culiacán, evidencia de balacera.

Sinaloa

🚔 Camioneta Baleada Abandonada en Culiacán 📍 Fiscalía y Policía Actúan 🕵️‍♂️🔫 #Culiacán #Seguridad

Automóvil dañado en accidente con equipos de rescate en la carretera Escuinapa-Teacapán Automóvil dañado en accidente con equipos de rescate en la carretera Escuinapa-Teacapán

Sinaloa

🚗💥 Accidente grave en Escuinapa-Teacapán deja a joven en estado crítico 🚑 #AccidenteVial #Emergencia

Catamarán anclado en la costa de Mazatlán con colina y estructuras al fondo Catamarán anclado en la costa de Mazatlán con colina y estructuras al fondo

Sinaloa

Catamarán Iguana lucha contra la desinformación 📉🛥️ ¡Vuelve a disfrutar Mazatlán seguro! #TurismoMazatlán #ViajaSeguro

Escombros tras explosión pirotécnica en Bahía de Banderas, Nayarit Escombros tras explosión pirotécnica en Bahía de Banderas, Nayarit

Nacionales

💥 Explosión de pirotecnia deja 10 heridos en Nayarit ⚠️ Alarma por manejo ilegal 🔥 #Seguridad #BahíaDeBanderas

Homenaje a Sophie Hediger, atleta suiza de esquí y snowboard cross, fallecida en avalancha en Arosa. Homenaje a Sophie Hediger, atleta suiza de esquí y snowboard cross, fallecida en avalancha en Arosa.

Deportes

Tristeza en el Deporte: Sophie Hediger, Estrella Olímpica Suiza, Fallece en Avalancha en Arosa ❄️💔 #AdiósSophie #EsquíSuiza

Bombero apagando fuego en Mazatlán con manguera, rodeado de humo y escombros. Bombero apagando fuego en Mazatlán con manguera, rodeado de humo y escombros.

Sinaloa

🔥 Mazatlán arde en celebraciones 🎆 Bomberos luchan contra 5 incendios por pirotecnia y fallas eléctricas 🚒💪 #Seguridad #Mazatlán

Suscríbete y recibe noticias

Tendencia

Mazatlán

🚨 Ayuda a localizar a Adriana Peña López 🆘 Vista por última vez el 15/Dic en Sábalo Country 📍 #BuscaAdriana #SábaloCountry

Culiacán

Confirman el fallecimiento de la Dra. Lupita Dobler, reportada como desaparecida en #Mazatlán 👩‍⚕️💔

Mazatlán

🚨 Ataque Armado Sacude Mazatlán. Policía y Ejército Buscan a los Agresores 🔫👮‍♂️ #Mazatlán #Seguridad

Actualización

Jorge Monreal sobrino de senador morenista asesinado en Zacatecas. Rodrigo Reyes despliega 800 fuerzas para hallar a los responsables 💔🚨 #Zacatecas #Justicia

Mazatlán

Alfonso "N" detenido por ser sospechoso de la desaparición y muerte de la doctora Guadalupe Dobler 🚓🕵️‍♂️ #Justicia #Mazatlán

Sinaloa

⚠️ Asalto violento en Valle Alto, Culiacán: víctima despojada de $10 Mil Pesos por dos hombres en moto 🏍️ #Seguridad #Culiacán

Actualización

Jóvenes chihuahuenses Roberto e Iván regresan con vida tras haber desaparecido en #Mazatlán 🎉🏡

Internacionales

Trump declara cárteles mexicanos como terroristas y cierra fronteras 🇺🇸🔒 ¡Inicia la mayor deportación! #Seguridad #Política