Un equipo de médicos e informáticos de la Universidad de California ha demostrado que es fácil modificar los resultados de las pruebas médicas de forma remota atacando la conexión entre los dispositivos de laboratorio del hospital y los sistemas de registros médicos.
Este tipo de ataques podrían usarse con mayor probabilidad contra objetivos de alto perfil, como jefes de estado y celebridades, que contra el público en general. Pero también podrían ser utilizados por un estado-nación para paralizar la infraestructura médica de los Estados Unidos.
Los investigadores de UC San Diego y UC Davis detallaron sus hallazgos el 9 de agosto en la conferencia Black Hat 2018 en Las Vegas, donde organizaron una demostración del ataque. Apodado Pestilence, el ataque es únicamente una prueba de concepto y seráno se divulgará al público en general. Si bien las vulnerabilidades que explotaron los investigadores no son nuevas, esta es la primera vez que un equipo de investigación ha demostrado cómo podrían explotarse para comprometer la salud del paciente.
Estas vulnerabilidades surgen de los estándares utilizados para transferir datos de pacientes dentro de las redes hospitalarias, conocidos como los estándares Health Level Seven o HL7. Esencialmente, el lenguaje que permite la comunicación de todos los dispositivos y sistemas en una instalación médica, HL7 se desarrolló en la década de 1970y no ha sido tocado por muchos de los avances en seguridad cibernética realizados en las últimas cuatro décadas.
La implementación de las normas sobre equipos médicos obsoletos por parte de personal con poca o ninguna capacitación en ciberseguridad ha llevado a que cantidades incalculables de datos de pacientes circulen de manera insegura. Específicamente, los datos se transmiten como texto sin cifrar en redes que no requieren contraseñasu otras formas de autenticación.
La piratería de datos en hospitales ha estado en las noticias en los últimos años. Pero los investigadores quieren llamar la atención sobre cómo esos datos, una vez comprometidos, podrían ser manipulados. "La atención médica es distinta de otros sectores en que la manipulación de infraestructura crítica tiene el potencialpara impactar directamente en la vida humana, ya sea a través de la manipulación directa de los dispositivos o de las redes que los conectan ", escriben los investigadores en un documento publicado junto con su demostración de Black Hat.
Las vulnerabilidades y las metodologías utilizadas para crear la herramienta Pestilence se han publicado previamente. La innovación aquí es combinar los conocimientos de informática y el conocimiento de los médicos para explotar las debilidades en el estándar HL7 para impactar negativamente el proceso de atención al paciente.
El equipo incluye al Dr. Christian Dameff, un médico de emergencias y becario de informática clínica, y Maxwell Bland, un estudiante de maestría en ciencias de la computación, ambos en UC San Diego, y el Dr. Jeffrey Tully, un residente de anestesiología en el Centro Médico de UC DavisLos médicos necesitan poder confiar en que sus datos son precisos, dijo Tully. "Como médico, pretendo educar a mis colegas en que la confianza implícita que ponemos en las tecnologías y la infraestructura que utilizamos para cuidar a nuestros pacientes puede estar fuera de lugar,y que el conocimiento y la vigilancia de estos modelos de amenazas es fundamental para la práctica de la medicina en el siglo XXI ", dijo.
La seguridad de los datos contra la manipulación es imprescindible. "Estamos hablando de esto porque estamos tratando de proteger los dispositivos y la infraestructura de atención médica antes de que los sistemas médicos experimenten una falla importante", dijo Dameff. "Necesitamos solucionar esto ahora".
Los investigadores describen las contramedidas que los sistemas médicos pueden tomar para protegerse contra este tipo de ataque.
La herramienta de Pestilencia
Los investigadores usaron lo que se llama un "hombre en el medio del ataque", donde una computadora se inserta entre la máquina del laboratorio y el sistema de registros médicos. Bland, el estudiante graduado de ciencias de la computación de la Universidad de California en San Diego, automatizó el ataque para que pudiera abordar grandes cantidadesde datos de forma remota. Los investigadores no se infiltraron en un sistema hospitalario existente, por supuesto. En su lugar, construyeron un banco de pruebas que comprende dispositivos de prueba de laboratorio médico, computadoras y servidores. Esto permitió al equipo ejecutar pruebas, como análisis de sangre y orina, interceptar la pruebaresultados, cámbielos y luego envíe la información modificada a un sistema de registros médicos.
Los investigadores tomaron resultados de análisis de sangre normales y los modificaron para que pareciera que el paciente sufría de cetoacidosis diabética, o DKA, una complicación grave de diabetes. Este diagnóstico haría que los médicos receten un goteo de insulina, que en un paciente sano podríaconducir a un coma, o incluso la muerte.
Los investigadores también modificaron los resultados normales de los análisis de sangre para que parecieran que el paciente tenía un potasio extremadamente bajo. El tratamiento con un potasio IV en un paciente sano causaría un ataque cardíaco, que probablemente sería fatal.
contramedidas
Los investigadores detallan una serie de pasos que los hospitales y las agencias gubernamentales pueden tomar para proteger la infraestructura médica en su documento técnico de Black Hat.
Los hospitales necesitan mejorar sus prácticas de seguridad. Específicamente, los sistemas de registros médicos y los dispositivos médicos deben estar protegidos con contraseña y protegidos detrás de un firewall. Cada dispositivo y sistema en la red debe restringirse a la comunicación con un solo servidor, para limitarOportunidades de los hackers para penetrar dentro de las redes hospitalarias. Esto se llama "segmentación de red" y es la mejor manera de proteger la infraestructura médica, dijo Bland, el estudiante graduado en ciencias de la computación de la Escuela de Ingeniería Jacobs en la Universidad de California en San Diego.
Los investigadores también desean crear conciencia sobre un nuevo estándar que podría reemplazar a HL7: el recurso de interoperabilidad de atención médica rápida, o FHIR, permitiría comunicaciones cifradas dentro de las redes de hospitales.
El personal de TI del hospital debe ser consciente de los problemas de ciberseguridad y capacitado para establecer defensas contra posibles ataques, dijeron los investigadores. Por ejemplo, el personal de TI necesita saber cómo configurar redes y servidores para admitir el cifrado. Los investigadores señalan un informe de 2017de un grupo de trabajo de Salud y Servicios Humanos que indica que el 80 por ciento del personal de TI del hospital no está capacitado en ciberseguridad.
Además, la seguridad cibernética debe formar parte del proceso de aprobación de la FDA para dispositivos de atención médica, dijeron los investigadores. Se debe alentar a los fabricantes a adoptar los sistemas operativos más nuevos y seguros. Por ejemplo, hoy en día, muchos dispositivos médicos aún se ejecutan en Windows XP, un sistema operativo que se lanzó en 2001 y ya no es compatible con Microsoft, lo que significa que las vulnerabilidades no se corrigen. Estos dispositivos no se pueden actualizar fácilmente, ya que tendrían que desconectarse, lo que comprometería la atención del paciente., a algunos dispositivos también se les dice que se actualicen.
"Trabajando juntos, podemos crear conciencia sobre las vulnerabilidades de seguridad que tienen el potencial de afectar la atención al paciente y luego desarrollar soluciones para remediarlas", dijo Tully de UC Davis.
Fuente de la historia :
Materiales proporcionado por Universidad de California - San Diego . Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :