Vulnerabilidades de seguridad críticas en las bombas de infusión de medicamentos

Se ha dado a conocer recientemente que ciertas bombas de infusión de medicamentos de Hospira contienen vulnerabilidades de seguridad peligrosas que pueden explotar fácilmente.

En otro ejemplo de inseguridad en dispositivos médicos inteligentes, ha surgido recientemente que una línea de bombas de infusión de medicamento de Hospira está expuesta a una serie de vulnerabilidades que pueden ser explotadas de manera remota, permitiendo que un atacante se haga con el control de las bombas de infusión afectadas o simplemente hacerlas inservibles.

13-05-2015 10-18-51

Estas bombas de infusión son parte de una nueva serie de dispositivos médicos conectados e inteligentes. Como he mencionado antes, particularmente respecto a las bombas de infusión de alta tecnología, los dispositivos médicos inteligentes evitan el factor riesgo de error humano para aquella gente que necesita la administración de medicamentos de manera crónica. Por desgracia, muchas de las compañías que están desarrollando estos dispositivos, han demostrado ignorar este detalle repetidas veces.

Además de ser susceptibles a ataques, están tan mal programados que se podrían inutilizar con un solo movimiento.

Las bombas de infusión de Hospira son tan vulnerables, que incluso el investigador de seguridad Jeremy Richards dijo que son los dispositivos con IP habilitado más inseguros con los que ha trabajado nunca. También señala que un criminal podría inutilizar el dispositivo de forma remota, un proceso popularmente conocido como enladrillar.

“No solo son susceptibles a sufrir ataques”, escribió Richards, “están tan mal programados que podrían inutilizarlos con un movimiento”.

Richards afirma que los hackers también podrían actualizar el software del dispositivo, ejecutar comandos y manipular las bibliotecas específicas del medicamento al que corresponden los códigos de barras impresos en viales que indican la dosificación y otra información crítica.

Es interesante que no sólo uno, sino dos investigadores descubrieran por su cuenta los virus en las inyecciones de medicamentos. Primero fue Billy Rios, conocido por haber hackeado la seguridad de un aeropuerto, los túneles de lavado automático y los sistemas de domótica.

A pesar de que la investigación de Rios se divulgó en la ICS-CERT hace más de un año, parmenece inédita, mientras que la de Richards se publicó la semana pasada. Rios le dio la bendición a Richard a través de Twitter para publicar sus descubrimientos.

Lo más preocupante es que estos dispositivos de Hospira almacenan claves de acceso a redes Wi-Fi protegidas (WPA) en formato archivo de texto. Si un atacante logra robar una de estas claves WPA, los dispositivos conectados a la misma red podrían quedar expuestos a espionaje u otros ataques. Estas claves también podrían robarse de los dispositivos que están fuera de servicio si el hospital no elimina las claves de red antes de retirar o vender estos aparatos. Más sencillo aún, estos dispositivos contienen un puerto ethernet expuesto que podría permitir ataques fáciles y rápidos utilizando herramientas de hackeo automatizadas.

No está claro si Hospira tiene la intención de arreglar estas vulnerabilidades. Richards asegura que sí están planeando hacerlo, pero las declaraciones de la propia compañía parecen contradecir estas declaraciones.

En respuesta a un mail de nuestro colega de Threatpost, Chris Book, Hospira dijo: “No existen casos en que los dispositivos de Hospira hayan sido violados en un entorno clínico y Hospira ha adoptado un enfoque proactivo para hacer frente a las posibles vulnerabilidades de seguridad informática”.

La compañía asegura que ya les ha comunicado a sus usuarios actuales la manera de enfrentar estas vulnerabilidades. Sin embargo, la compañía no ha dicho que fuera a solucionarlo, solo que planea mitigar estas preocupaciones para sus futuros productos.

“También es importante señalar que para explotar vulnerabilidades es necesario penetrar varias capas de seguridad de la red, forzadas por el sistema de información del hospital, incluyendo los firewalls de seguridad”, dijo la compañía en un comunicado. “Estas medidas de seguridad de red sirven como la primera línea de defensa contra la manipulación, mientras que las bombas de infusión y el software proveen una capa de seguridad adicional”.

Mientras tanto, os dejaré con esto:

Consejos