Por Jim Finkle para Reuters.
BOSTON (Reuters) - El Departamento de Seguridad Nacional de Estados Unidos (DHS) investiga más de 20 casos de supuestas fallas de ciberseguridad en dispositivos médicos y equipos hospitalarios que autoridades temen puedan ser aprovechadas por piratas informáticos, dijo a Reuters un funcionario de alto rango.
Los productos bajo revisión por el ICS-CERT, un equipo de respuesta de emergencias cibernéticas, incluyen una bomba de infusión de Hospira Inc y dispositivos cardíacos de Medtronic Inc y St Jude Medical Inc, según otras personas familiarizadas con los casos, que pidieron no ser identificadas porque la investigación es confidencial.
Estas personas dijeron que no saben de incidentes en que piratas informáticos hayan atacado pacientes a través de estos dispositivos, por lo que la amenaza no debe exagerarse.
Aún así, a la agencia le preocupa que personas malintencionadas intenten controlar los aparatos y crear problemas, como sobredosis de medicamentos, dijeron las fuentes.
El funcionario del DHS dijo que la agencia está trabajando con los fabricantes para identificar y reparar las fallas de software y otras vulnerabilidades que los hackers pueden usar para exponer información confidencial o atacar equipamiento hospitalario. Declinó nombrar a las compañías.
"Estas son las cosas en las que programas como 'Homeland' se basan", dijo el funcionario, refiriéndose a la serie estadounidense sobre espías en la que el vicepresidente es asesinado mediante un ciberataque contra su marcapasos.
"No está fuera de lo posible que causen graves lesiones o muerte", agregó el funcionario, que no quiso ser identificado debido a la naturaleza sensible de su trabajo.
Hospira, Medtronic y St Jude Medical declinaron realizar comentarios sobre las investigaciones del DHS. Las tres compañías dijeron que toman la ciberseguridad como un asunto serio y han hecho cambios para mejorar la seguridad de los productos, pero declinaron brindar detalles.
DISPOSITIVOS CONECTADOS
La tarea del ICS-CERT es ayudar a proteger estructura estadounidense clave de amenazas cibernéticas, ya sean por errores humanos, virus informáticos o a través de ataques de criminales o extremistas.
Según el funcionario del DHS, la agencia comenzó a examinar equipos de salud unos dos años atrás, cuando investigadores de ciberseguridad se interesaron más en dispositivos médicos que contenían cada vez más chips de computadora, software, tecnología inalámbrica y conectividad a internet, haciéndolos más susceptibles a hackers.
La Administración de Alimentos y Medicamentos (FDA por su sigla en inglés), que regula la venta de dispositivos médicos, lanzó recientemente pautas para fabricantes y quienes brindan cuidados de la salud para asegurar mejor los aparatos.
"En el pasado los productos se protegían de amenazas involuntarias. Ahora, también hay que protegerlos de amenazas internacionales", dijo William Maisel, científico en jefe del Centro de Dispositivos y Salud Radiológica de la FDA. Declinó comentar sobre las pesquisas del DHS.
El funcionario del DHS dijo que los más de 20 casos que se investigan cubren un amplio rango de equipos, incluyendo equipamiento médico de imágenes y sistemas hospitalarios.
Una revisión del DHS no supone que el Gobierno piense que una compañía haya hecho algo malo, sino que significa que la agencia está analizando una supuesta vulnerabilidad para ayudar a rectificarla.
Uno de los casos se relaciona con una supuesta vulnerabilidad en un tipo de bomba de infusión, un equipo hospitalario que inyecta medicación directamente al flujo sanguíneo de un paciente.
Billy Rios, investigador de ciberseguridad, dijo que descubrió la supuesta falla pero declinó identificar al fabricante del equipo. Dos personas familiarizadas con su trabajo dijeron que el fabricante era Hospira.
Rios dijo que creó un programa que podía forzar remotamente a múltiples bombas a inyectar dosis potencialmente letales de medicamentos y que entregó su análisis al DHS.
"Este es un tema que será extremadamente difícil de arreglar", dijo Rios, un ex comandante de sección de los Marines que trabajó para varias firmas tecnológicas de Silicon Valley y recientemente estableció la startup de seguridad Laconicly.
Reuters no pudo revisar de manera independiente su investigación o identificar el tipo de bomba que estudió Rios de la línea de Hospira, que incluye múltiples modelos.
La portavoz de Hospira Tareta Adams, si bien declinó realizar comentarios sobre temas específicos, dijo que la compañía trabajaba para mejorar la seguridad de sus productos.
MAYOR CONCIENCIA
Funcionarios de seguridad hospitalaria dicen que hay una creciente conciencia sobre amenazas cibernéticas, y los centros médicos del país han reforzado sus sistemas para defenderse mejor de los piratas informáticos.
En el Centro Oncológico MD Anderson de la Universidad de Texas, todos los dispositivos médicos deberán ser probados para asegurarse que cumplen con los estándares de seguridad antes de que se utilicen en el hospital, según Lessley Stoltenberg, director de seguridad de la información del centro.
El DHS también está investigando supuestas vulnerabilidades en dispositivos cardíacos implantables de Medtronic y St Jude Medical, según dos personas familiarizadas con el tema.
Dijeron que el análisis se basaba en parte en la investigación de Barnaby Jack, un reconocido hacker que falleció en julio del 2013. Jack había dicho que podía ingresar a sistemas de comunicación inalámbricos que vinculan marcapasos y desfibriladores con monitores cardíacos.
La portavoz de Medtronic, Marie Yarroll, dijo en un correo electrónico que la compañía había "hecho cambios para reforzar la seguridad" de sus dispositivos cardíacos, pero declinó dar detalles.
La portavoz de St. Jude Medical, Candace Steele Flippin, también declinó discutir productos específicos pero dijo que la compañía tiene "programas continuos para realizar pruebas de seguridad en nuestros dispositivos médicos y en los equipos conectados".
El investigador informático Jay Radcliffe solía ser uno de los cientos de miles de diabéticos que dependen de bombas de insulina computarizadas. Dijo que dejó de usar un aparato de Medtronic cuando vio que podía ingresar al sistema de comunicación inalámbrico del dispositivo y potencialmente inyectarse una dosis fatal de insulina.
"No me siento seguro usando estos dispositivos", dijo Radcliffe, que trabaja para Rapid7, un fabricante de software de seguridad. "Para mi es mejor usa una aguja", agregó.
Medtronic dijo que había mejorado la seguridad de sus bombas de insulina, aunque declinó brindar detalles. / Por Jim Finkle para Reuters. (Reporte de Jim Finkle, Editado en español por Patricia Avila).--