El hackeo de dispositivos médicos no es nuevo, pero su popularidad ha crecido con la creciente sofisticación y la cantidad de componentes electrónicos en estos dispositivos. Hace varios años que se conocen ataques a dispositivos médicos como bombas de insulina y desfibriladores cardioversores implantados (DCI).
Se han demostrado las siguientes vulnerabilidades en los DCI:
- La información del paciente se puede volver a leer en texto sin formato
- Se puede controlar el modo de funcionamiento del DCI. Por ejemplo, una persona no autorizada puede alterar la terapia o agotar la batería poniendo el DCI en modo de transmisión continua.
- Con más dispositivos que emplean computadoras integradas y se vuelven «inteligentes», crece la oportunidad y la atracción de hackearlos.
¿Por qué alguien intentaría hackear el funcionamiento interno de un dispositivo médico? Aquí hay algunas razones:
- Para obtener conocimiento de cómo funciona el dispositivo, por puro interés o para realizar ingeniería inversa
- Para uso fuera de indicación (tratamiento de una condición médica para la cual el dispositivo no ha sido diseñado)
- Para omitir las funciones de un solo uso o de pago por uso
- Para acceder a datos de pacientes o información personal
- Dañar el dispositivo o dañar a un paciente
- Por el prestigio asociado con un logro inteligente
Para hackear con éxito, debe haber una puerta trasera: un acceso al dispositivo que está allí intencionalmente o como un efecto secundario de los componentes utilizados. Los diseñadores a menudo incluirán puertas traseras para la depuración durante la fase de diseño, para pruebas y calibración en la fabricación, o para habilitar actualizaciones de campo por parte de los técnicos de servicio. No se espera que los usuarios finales utilicen estas puertas traseras y, por lo general, el diseñador confía en el hecho de que la existencia de la puerta trasera no se publica para protegerla contra el uso indebido.
Se accede a las puertas traseras de los dispositivos a través de:
- Medios físicos, como quitar un panel para exponer los mecanismos o circuitos internos
- Enchufar en conectores o puertos normalmente no utilizados por el consumidor
- Excediendo los parámetros normales de operación. Los ejemplos incluyen la operación a temperaturas y voltajes más altos o más bajos que los especificados.
- Descifrar comunicaciones internas o externas
- Tecnologías de inspección como rayos X y termografía
Algunas de estas técnicas de acceso por la puerta trasera pueden volverse bastante sofisticadas. Por ejemplo, las claves de cifrado utilizadas por un circuito integrado a veces se pueden discernir al monitorear el consumo de energía del chip mientras cifra/descifra datos.
Afortunadamente, existen técnicas para protegerse contra el hackeo de dispositivos médicos. Algunas técnicas de protección incluyen:
- Dispositivos resistentes a la manipulación y compuestos encapsulados para dificultar el acceso físico.
- Utilizando algoritmos de cifrado robustos y circuitos integrados equipados con contramedidas
- Lengüetas separables y dientes de enganche unidireccionales (como los que se encuentran en las ataduras de cables) para garantizar un solo uso
- Detección fuera de límite (por ejemplo, se detecta bajo voltaje y se desactivan los componentes clave del circuito)
- Ofuscación al codificar o agregar aleatoriedad a los datos, eliminando marcas de componentes clave
- Durante la fabricación, sin poblar los componentes que solo se utilizan durante el desarrollo
- Requiriendo claves de acceso suministradas de fábrica
- Deshabilitar puntos de prueba después de la fabricación
- Borrando la memoria electrónica después de su uso
- Bloqueadores que evitan que los hackers escuchen a escondidas de forma remota el dispositivo médico de una persona.
Según la naturaleza del dispositivo, se debe usar una o más de estas protecciones para garantizar que el control del dispositivo permanezca en manos de los usuarios autorizados y que los datos privados no queden expuestos. La elección de la protección adecuada suele ser una parte de la mitigación de riesgos durante el ciclo de análisis de riesgos. Al evaluar los peligros, se debe suponer que el código fuente y los diseños serán conocidos por terceros; confiar únicamente en procesos patentados y secretos para proteger un dispositivo suele ser insuficiente.