Las fallas de seguridad residen en el software de toda clase de dispositivos. Recientemente un grupo de expertos en análisis de vulnerabilidades de IBM detectó una vulnerabilidad en un componente electrónico que permitiría a los actores de amenazas tomar control de forma remota de múltiples modelos de bombas de insulina, dispositivos empleados como alternativa a las tradicionales inyecciones. La explotación de esta falla podría alterar las dosis administradas a miles de pacientes, lo que pondría en riesgo sus vidas.
Los investigadores reportaron un problema con los módulos desarrollados por la firma francesa Thales, incluidos en millones de dispositivos usados en múltiples industrias como la automotriz, energética y por supuesto los servicios de salud.
Explotando una falla que reside en uno de estos módulos los actores de amenazas pueden desencadenar un comportamiento anómalo en las bombas de insulina, empleadas por millones de pacientes en el mundo. Por el momento se desconoce qué fabricantes están expuestos a esta falla, mencionan los expertos en análisis de vulnerabilidades.
Si bien IBM mencionó que la falla fue reportada inicialmente en septiembre del 2019, además de que un parche de seguridad fue lanzado en febrero en conjunto con Thales, el proceso para actualizar los dispositivos afectados en industrias altamente reguladas es demasiado lento, por lo que millones de dispositivos aún podrían estar expuestos.
Sobre su decisión de divulgar públicamente la existencia de estas fallas, IBM menciona que esto se debe a un anuncio relacionado con algunas fallas de seguridad que podrían afectar a millones de dispositivos de Internet de las Cosas (IoT). Los investigadores podrían referirse al hallazgo de la firma israelí JSOF, que detectó múltiples vulnerabilidades IoT que permitirían a los hackers maliciosos modificar el comportamiento de dispositivos conectados, incluyendo las bombas de insulina. La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de E.U. también emitió una alerta en referencia a este conjunto de fallas, identificadas como Ripple20.
Los investigadores también mencionaron que hasta el momento no se han detectado intentos de explotación en escenarios reales, aunque hacen énfasis en la necesidad de no revelar cuáles son los dispositivos afectados por esta falla. Una postura similar fue adoptada por el Centro de Coordinación de Ciberseguridad en el Sector Salud de CISA, que publicó una nota sobre la peligrosidad de esta falla sin revelar nombres de fabricantes o modelos vulnerables.
Las bombas de insulina no son los únicos dispositivos en la industria de la salud expuestos a estas fallas. Equipo médico como monitores de glucosa, monitores de signos vitales y otros dispositivos también podrían sufrir manipulación a distancia con fines maliciosos, mencionan los expertos en análisis de vulnerabilidades. En otras palabras, esta falla podría ser un problema que afecta a la industria médica en general.
Cabe señalar que algunos miembros de la comunidad de la ciberseguridad creen que esta vulnerabilidad es un riesgo menor. Chris Gates, especialista en ingeniería de dispositivos médicos, asegura que los módulos vulnerables de Thales no son una amenaza al nivel de las fallas Ripple20, que permiten la ejecución remota de código: “Un potencial ataque contra los módulos Thales requiere acceso físico vía USB o interceptando una actualización inalámbrica; el ataque también dependería de la cantidad de información almacenada en la memoria de una bomba de insulina”, menciona el experto.
A pesar de que un escenario catastrófico es poco probable, los investigadores recomiendan implementar algunas medidas preventivas. Bajo ninguna circunstancia los usuarios deben dejar este dispositivo al alcance de un potencial atacante. Las actualizaciones estarán disponibles pronto, lo que mitigará el riesgo de ataque por completo.