Literalmente.
Durante la pasada conferencia Black Hat, jornadas dedicadas a la investigación de seguridad, vulnerabilidades tecnológicas y hackers investigadores en general, una pareja de ellos hicieron una demostración en directo de lo sencillo que puede ser apagar una bomba de insulina a distancia, o instalar malware en un marcapasos.
Jonathan Butts de QED Secure Solutions y Billy Kim Rios de Whitescope dieron a conocer una cadena de vulnerabilidades de seguridad dentro de dispositivos médicos, las cuales podrían causar daños e incluso la muerte de los pacientes.
De acuerdo a los investigadores, Medtronic es la compañía con más riesgos en sus dispositivos, ya que un atacante estaría en posición de enviar descargas a los marcapasos de algunos pacientes, o bien detener el dispositivo de forma indefinida, así como frenar las dosis de insulina en algunas bombas. Todo esto de forma remota y sin que el paciente se dé cuenta.
Esta compañía tiene toda su plataforma disponible en la nube para que se puedan instalar actualizaciones, pero está sin cifrar, accesible y programada en Windows XP, sistema operativo desactualizado y sin soporte ni actualizaciones para nuevas vulnerabilidades que puedan surgir.
Además, descubrieron que los dispositivos se conectaban a servidores web HTTP usando radio sin cifrar. Esto permitiría que un atacante pueda acceder de forma remota a los dispositivos para modificar sus datos y programación. De hecho comentaron que «estuvimos pensando traer un cerdo vivo a la presentación para demostrar en directo como se puede matar desde un iPhone de forma remota para sacar a la luz sus enormes implicaciones».
Ante este nuevo descubrimiento, Butts y Rios dieron aviso a al DHS y prepararon todo para hacer una demostración pública en la conferencia Black Hat. Mostraron como una persona con un smartphone puede alterar la operación de un marcapasos o una bomba de insulina.
Esto podría suponer una nueva forma de delincuencia, donde podrían aparecer sicarios remotos, secuestros sin necesidad de retener a la víctima, o un ejercito de hackers con la capacidad de secuestrar países enteros. Incluso un nuevo tipo terrorismo.
Xisco Luque, programador, experto en tecnología de IB Magazine
Escucha PODCAST de la sección mas tecnológica del programa.