La figura del hacker no está para nada relacionada con espacios clínicos, pero la verdad es que los últimos años estuvieron llenos de ataques cibernéticos con incidentes de seguridad en equipos para hospitales, manejos extraños de software y hasta casos de piratería informática con historias clínicas, esto es una preocupación real para la industria de seguridad hospitalaria.
Podríamos decir que estos incidentes no son sorpresa porque la era tecnológica va en aumento y por ende la seguridad y conflictos en cuanto a equipos médicos, estos son computadoras completamente funcionales que tienen sistema operativos y aplicaciones instaladas, la mayoría de estos dispositivos posee un canal de comunicación a la Internet, redes externas y diferentes tipos de servidores de base en nubes personalizadas.
Los equipos están llenos de tecnologías sofisticada hecha con un objetivo que es ayudar a los médicos a tratar pacientes con nuevas herramientas, pero al igual que todos los demás sistemas industriales construyen un enfoque para ser más precisos, útiles en términos de ciencia médica pero ponen los aspectos de seguridad en la segunda o incluso tercera posición, ahí es cuando el diseño de programas se vuelve vulnerable, la autorización no es segura, los canales de comunicación no son cifrados y aparecen hackers queriendo obtener información por fastidiar o tener dinero a cambio de información confidencial conduciendo a compromisos potenciales.
El acceso no autorizado a estos dispositivos podría tener efectos graves, no sólo el robo de datos personales importantes peor aún tiene la capacidad de afectar directamente la salud o incluso la vida de los pacientes, a veces realmente da miedo saber lo fácil que es sumergirse en el sistema del hospital, robar la información personal de un dispositivo médico o conseguir entrar al mismo en minutos con la posibilidad de obtener acceso al sistema de archivos, interfaz de usuario, etc. Imagina un escenario de «ataque dirigido» donde los cibercriminales con pleno acceso a la infraestructura médica pueden manipular los resultados de los sistemas de diagnóstico o tratamiento, los médicos en algunos casos dependen de estos sistemas para administrar los tratamientos y si los datos son modificados es posible que se equivocan empeorando el cuadro clínico del paciente o incluso llevarlo a la muerte.
Existen varias formas para que estos hackers llevan a cabo sus ataques, a continuación podrás enterarte de (3) tres grandes defectos cuando se habla sobre protección adecuada en un centro médico: en primer lugar la exposición a Internet es débil o incluso sin autorización alguna al producto, hay infinidad de formas de encontrar dispositivos vulnerables por ejemplo utilizando el motor de búsqueda Shodan que encuentra en segundos miles de productos sanitarios expuestos a Internet, un hacker podría descubrir escáneres de resonancia magnética, dispositivos de cardiología y otros equipos médicos radiactivos conectados a Internet, una gran cantidad de estos ellos siguen operando bajo el sistema operativo Windows XP y tienen docenas de vulnerabilidades sin parches conduciendo a la transacción completa de un sistema remoto, por otra parte estos dispositivos tienen contraseñas por defecto sin cambios que las hacen manipulables al 100%.
La segunda falla evidente es que los dispositivos no están protegidos contra el acceso de las redes locales, se realizo un estudio para aumentar la seguridad de un hospital en Estados Unidos donde el informático tuvo acceso sin problemas a una red perteneciente al hospital conectándose inmediatamente a los equipos, esto fue más sencillo porque la red Wi-Fi local no estaba debidamente protegida. Los fabricantes de dispositivos médicos al crear un sistema conjunto se enfocan en proteger solo el acceso externo pero por alguna razón piensan que si alguien trata de acceder a ellos internamente es confiable de forma predeterminada, dicha práctica se considera totalmente errada y es uno de los puntos que se debe mejorar a nivel mundial.
El tercer defecto son las vulnerabilidades en la arquitectura del software, donde después de tener acceso no existen otros controles de seguridad que verifiquen al usuario haciendo que este ingrese a toda la información sin ningún problema; La otra preocupación es acerca de las versiones no actualizadas de los sistemas operativos y las dificultades de gestión de parches, este es un ambiente totalmente diferente de la infraestructura estándar de los PC o dispositivos móviles no se puede simplemente lanzar un parche para una vulnerabilidad y luego subirlo a dispositivos médicos. Es un proceso manual complejo y en muchos casos se necesita un técnico cualificado en el sitio del hospital para realizar una actualización del sistema y para probar que los dispositivos funcionan correctamente después de la actualización, para eso se necesita tiempo y dinero por lo que es esencial crear un sistema protegido desde el principio en la fase de desarrollo con el menor número de vulnerabilidades posibles.
Los vendedores de equipos medico deben prestar mucha atención al tema de seguridad médica cibernética, algunas de las recomendaciones son tener en cuenta que los delincuentes actúan ahora contra instalaciones médicas por eso es importante leer sobre estos incidentes y tratar de averiguar si los métodos de ataque podrían afectar las infraestructuras, por otro lado es vital desarrollar políticas oportunas de gestión de parches y evaluación de vulnerabilidad no se trata solo de centrarse en la protección de amenazas externas sino también mantener un estricto control sobre lo que está pasando dentro de la red local, quién tiene acceso a qué y cualesquiera otra cosa que podrían dar lugar a sistemas locales comprometidos.