Su bomba de insulina o su marcapasos también pueden ser hackeados

Marcapasos, desfibriladores, respiradores artificiales, bombas de insulina y otros dispositivos de última generación no solo pueden ser vulnerables a un ataque cibernético, si no que cada vez los riesgos de que esto suceda son mayores.

Este lunes Johnson & Johnson anunció a sus consumidores que sus bombas para diabéticos tipo 1 modelo J&J Animas OneTouch Ping pueden ser hackeadas, lo que le permitiría a un atacante realizar inyecciones de insulina no autorizadas remotamente.

"La probabilidad de un acceso no autorizado al sistema es extremadamente baja", dijo la compañía en una carta enviada a médicos y cerca de 114,000 pacientes que usan el dispositivo en los Estados Unidos y Canadá. "Se requeriría conocimientos técnicos, equipos sofisticados y estar próximo a la bomba, ya que el sistema OneTouch Ping no está conectado a Internet o a cualquier otra red externa", agregaron.

La vulnerabilidad fue expuesta por Jay Radcliffe, un investigador de seguridad de Rapid7 y diabético. Esta bomba, explicó a Univision Noticias, usa un sistema de comunicación no encriptado, que “con la suficiente proximidad”, alguien podría utilizar para causar a una persona una reacción hipoglucémica.

“El dispositivo en el que hice 90% de mi investigación, es el dispositivo que tengo conmigo desde hace varios años. Sé lo importante que es para la salud de un diabético”, comentó.

Las bombas de insulina son dispositivos que a través de un catéter inyectan insulina a los pacientes diabéticos. La semana pasada la oficina de Administración de Medicamentos y Alimentos (FDA, por sus sigla en inglés) autorizó la venta de uno automático, pero el J&J Animas OneTouch Ping, que fue lanzado en 2008, tiene un control remoto que los pacientes deben utilizar para administrar su dosis.

Radcliffe dice que en este momento no está usando la bomba, pero no por miedo a ser asesinado remotamente, si no por decisión de su doctor. “Si alguno de mis hijos se volviera diabético y su médico le recomendara que use una bomba, no lo dudaría. No es perfecta, pero nada lo es”, señaló.

Más casos de posibles ataques

La semana pasada un paciente demandó al hospital St. Jude Medical, en Chicago, porque su marcapasos puede ser vulnerado cibernéticamente. Alegando que un click de mouse podría ocasionarle un arresto cardíaco. El hospital, que dice que todavía no ha sido citado formalmente, dijo a Univision Noticias: "La seguridad de nuestros pacientes es y ha sido siempre nuestra principal prioridad. Nuestros dispositivos son seguros y hemos tomado y seguiremos tomando las medidas necesarias para hacer frente a los desafíos dinámicos de la seguridad cibernética”.

Los marcapasos se conectan con el mundo exterior para poder ser ajustado remotamente sin necesidad de una intervención médica. En 2007 Dick Cheney, vicepresidente del momento, pidió que las capacidades inalámbricas de su marcapaso fueran desactivadas, por temor a un asalto digital.

El doctor Sujeet Shenoi del departamento de ciencias de computación de la Universidad de Tulsa, le comentó a Univision Noticias que el riesgo ha aumentado recientemente debido a la sofisticación de los aparatos médicos. “Estos marcapasos, por ejemplo, tienen una parte mecánica, eléctrica, una mini computadora. Son dispositivos complejos que, por supuesto, pueden ser hackeados. No hay manera de saber si son 100% seguros”, comentó.

Shenoi explica que según el aparato existen muchas maneras en que podría realizarse un ataque, pero que existen más probabilidades de que un sistema tenga fallas técnicas, como lo podría tener un automóvil, antes de que alguien lo comprometa a través del internet o del bluetooth.

La FDA ha anunciado en repetidas oportunidades que se está preparando para emitir directrices oficiales sobre cómo los fabricantes de dispositivos médicos deben manejar las vulnerabilidades cibernéticas.