En este blog hemos hablado en múltiples ocasiones de amenazas informáticas que se salían de lo habitual y que en lugar de infectar ordenadores domésticos, dispositivos móviles o estaciones de trabajo en empresas, estaban dirigidos específicamente a sistemas de control industrial (SCADA). Este tipo de ataques normalmente tienen una complejidad muy elevada y su descubrimiento suele producirse meses después de que hayan realizado su cometido.
Además de los sectores críticos como energía, defensa o comunicaciones, tenemos el sector de la sanidad, algo vital y necesario para el correcto funcionamiento de una sociedad moderna. No podemos negar que los avances tecnológicos en esta área han permitido mejorar la calidad de vida de muchos enfermos con avances tan importantes como la implementación de tecnología Wi-Fi en instrumentos tan vitales como puede ser un marcapasos.
No obstante, algo que en principio supone una ventaja para el paciente, puesto que permite informar inmediatamente a un doctor acerca de cualquier problema así como también realizar revisiones periódicas conectándose remotamente a casa del paciente, también puede convertirse en un vector de ataque.
En una reciente conferencia de seguridad, el investigador Barnaby Jack consiguió modificar mediante ingeniería inversa un emisor de marcapasos, permitiéndole realizar descargas eléctricas de elevada potencia a aquellos marcapasos en un radio de 9 metros aproximadamente, además de permitirle sobrescribir su firmware.
En su demostración, el investigador utilizó un portátil conectado a un marcapasos de un fabricante cuyo nombre prefirió no desvelar, para realizar una serie de descargas de 830 voltios. Un “ataque” similar en un entorno real podría causar la muerte de todos aquellos pacientes con un marcapasos vulnerable en un radio a la redonda de la fuente emisora.
Todo esto es posible debido a que algunos instrumentos médicos incorporan una funcionalidad secreta que puede ser utilizada para activar, por ejemplo, todos los marcapasos y desfibriladores en una radio de nueve metros a la redonda. El investigador incluso comentó la posibilidad de que el código malicioso causante de la descarga saltase de marcapasos en marcapasos si estos se encuentran en un radio de acción lo suficientemente cercano.
Este descubrimiento hace pública una grave vulnerabilidad que incluso podría convertirse en un nuevo tipo de asesinato si llegase a caer en malas manos. Solo hay que pensar en la cantidad de gobernantes, dirigentes de grandes empresas o personas relevantes que utilizan actualmente un marcapasos para darse cuenta de que esta amenaza debe ser tomada en serio por los fabricantes de estos dispositivos.
Ante este panorama supuestamente desalentador, nuestro compañero David Harley aporta su punto de vista, especialmente interesante debido a su experiencia de 11 años trabajando en el Servicio Nacional de Salud Británico. Aun a pesar de la publicación de esta vulnerabilidad, dudamos mucho que llegue a ser aprovechada de forma masiva puesto, por desgracia, que hay formas más sencillas de infringir daño físico que hackeando un marcapasos.