La tecnología trae consigo algunos eslabones y uno de ellos se evidencia en los equipos para hospitales, por esta razón es tan importante escogerlos más allá de su diseño y funcionalidad pensando en la seguridad de los futuros pacientes y personal médico.
Solo piensa en los equipos de quimioterapia y antibióticos que pueden ser manipulados a distancia para cambiar la dosis que reciben los pacientes, desfibriladores compatibles con Bluetooth que se pueden manipular para entregar choques aleatorios al corazón, rayos x que pueden ser manejados por personas ajenas que acechan en la red de un hospital, ajustes de temperatura en los refrigeradores de almacenamiento de sangre y medicamentos que pueden deteriorarse, por último la historia clínica digital que puede ser alterada para causar un mal diagnóstico, prescribir los medicamentos equivocados o administrar la atención injustificada. ¿Ahora tu visión cambio?
Los expertos indican que el éxito no solo radica en comprar tecnología de punta si no acompañarla del sistema de seguridad adecuado, muchos hospitales no son conscientes del alto riesgo asociado con estos dispositivos, una de las estrategias es hacer pruebas con los equipos antes de utilizarlos para estar al tanto de cuales son los posibles fallos o sistemas vulnerables.
Algunos equipos no presentan autenticación para acceder o manipularlos convirtiéndolos en puntos débiles, usando contraseñas fáciles o por defecto siendo las que trae el equipo como “admin” o “1234” situando flancos perfectos para los hackers, y te estarás preguntando ¿Quién querría hackear los equipos de un hospital? Terroristas, individuos probando sus habilidades cibernéticas y personas con malas intenciones hacia los pacientes o personal de salud; sin hablar de los servidores web integrados e interfaces administrativas, que hacen fácil identificar y manipular los dispositivos una vez que un atacante se encuentra en la red.
Aunque todavía no se sabe con certeza si cualquiera de estos dispositivos está conectados directamente a Internet, muchos de ellos interactúan con las redes internas accesibles a través de Internet; los hackers podrían tener acceso a los dispositivos mediante la infección de la computadora de un empleado sin hablar de la exploración de la red interna para encontrar los sistemas vulnerables.
En Estados Unidos se han realizado varias investigaciones para comprobar la fiabilidad de los equipos para hospitales, concluyendo que la mayoría son muy fáciles de hackear e ingresar a su red sin que nadie se dé cuenta, esto hace pensar que debe agregarse otro paso en la creación y remodelación de los recintos médicos probando la seguridad de cada dispositivo como lo son: sistemas de radiología y resonancia magnética, ultrasonido y mamografía, cardiología, oncología y otros que pueden manejarse a distancia. Uno de los principales problemas es que estos dispositivos trabajan con un servicio web integrado, que permite que los diferentes equipos se comuniquen entre sí alimentándose de datos digitales directamente de los registros médicos del paciente.
Una gran cantidad de los servicios web permiten la comunicación no autenticada o cifrada entre los dispositivos, por lo que es posible alterar la información de los registro médicos, de este modo podrían obtenerse diagnósticos equivocados o peor aún administrar los medicamentos contraindicados que colocarían en peligro total a los pacientes, los médicos siempre confiaran en la información contenida en estos archivos así que estaríamos hablando de una bomba de tiempo.
Por otro lado un punto vulnerable son los sistemas de refrigeración para el almacenamiento de fluidos, criogenia y productos farmacéuticos, todos estos tienen un interfaz web que le permiten establecer el rango de temperatura. A pesar de que los sistemas incluyen alertas de correo electrónico y buscapersonas inalámbricos para notificar al personal de laboratorio si la temperatura cae fuera de ciertos límites, los sistemas sólo están protegidos por contraseñas codificadas, y una vez en el sistema un atacante puede desactivar las funciones de notificación de buscapersonas de correo electrónico, o alterar la configuración para cambiar cuando se envía una alerta.
Algunos de los problemas más preocupantes que se encuentran es que se pueden involucrar las bombas de infusión y desfibriladores cardiovasculares además de equipos para tomografía computarizada, por otro lado bombas de infusión que poseen una interfaz de administración web para las enfermeras y así puedan cambiar los niveles de dosificación de drogas desde sus estaciones de trabajo.
Con la tomografía computarizada podrían alterar los archivos de configuración y cambiar los límites de exposición a la radiación, exponiendo a los pacientes y personal médico a radiaciones que de forma inmediata o a futuro podrían causar daños perjudiciales en su salud, de esta forma ya no estaríamos hablando de hackeos sino que el bienestar de las personas involucradas se podría ver vulnerada.
La industria del cuidado de la salud está ahora tomando conciencia de los problemas de seguridad con equipos para hospitales, y estos principalmente existen porque el equipo médico sólo ha sido regulado por su fiabilidad y eficacia pero no para la seguridad; a nivel mundial las principales organizaciones deberían hacer una alerta y aconsejar a los centros de salud para que examinen sus sistemas y protegerlos de usuarios no autorizados, los proveedores podrían asegurar los dispositivos con encriptación y autenticación antes de que los vendan a sus clientes y solucionar los que ya están en el campo.