Los dispositivos médicos de Internet de las Cosas (IoT) heredados pueden carecer de características de seguridad, pero los más nuevos construidos en torno a componentes de productos básicos pueden tener un conjunto totalmente diferente de vulnerabilidades que son mejor comprendidas por los atacantes.
Esto provoca que los expertos difieran en cuanto a si los dispositivos médicos conectados más antiguos o los más nuevos son más culpables de hacer que las redes de atención médica sean más o menos vulnerables a los ciberataques.
La narrativa clásica de la IoT insegura se centra en la integración de los dispositivos más antiguos en la red. En algunas industrias, esos dispositivos son incluso anteriores a Internet, por lo que no es de extrañar que las empresas se enfrenten a muchos desafíos para asegurarlos contra el compromiso remoto.
Aunque esos dispositivos no son tan antiguos, a menudo carecen de capacidades clave —en particular, actualizaciones de software remotas y protección de contraseñas configurables— que ayudarían al personal de TI a defenderlos contra las amenazas modernas.
Eso podría no ser estrictamente cierto en lo que respecta al campo de la medicina, según Richard Staynings, Jefe de Seguridad para la empresa de seguridad de IoT médica Cylera. Sostiene que, en los últimos años, ha habido una explosión en el número y la variedad de dispositivos médicos de IoT, y muchos de esos aparatos son, al menos, tan inseguros como los equipos con los que se trabaja en la actualidad.
En algunos casos, sostiene Staynings, los dispositivos más antiguos podrían ser en realidad considerablemente más seguros que los de la cosecha más reciente. En particular, aquellos basados en tecnología anticuada como las versiones más antiguas de la memoria que sólo admiten lectura programable y borrable eléctricamente (EEPROM).
“Los sistemas más antiguos fueron escritos en EEPROM y se necesita un lector de EEPROM para jugar con ellos”, sostiene. “La base de código no está en Internet para que los hackers la vean, y se necesita acceso físico a la EEPROM para reescribirla”.
En consecuencia, la inseguridad en la actual generación de equipos médicos de IoT también conlleva el potencial de problemas continuos, no sólo inmediatos. Mientras que los activos de TI se reemplazan rápidamente, los dispositivos de IoT a menudo tienen ciclos de reemplazo mucho más largos. “Los dispositivos médicos tienen la vida media del plutonio”, admite Staynings. “Simplemente no desaparecen”.
Otros expertos se muestran menos convencidos de la caracterización que hace Staynings de la amenaza que supone el IoT médico, argumentando que la idea de que los dispositivos más nuevos suponen una mayor amenaza que los más antiguos contradice los recientes esfuerzos por hacerlos más seguros. Keith Mularski dirige un consultorio de ciberseguridad en Ernst and Young, y describe la afirmación de Staynings como “sorprendente”, señalando que el panorama regulador de los dispositivos médicos conectados está moviendo rápidamente las normas en una dirección positiva.
“La FDA tiene algunas directrices bastante estrictas. Por eso, antes de que los dispositivos puedan salir al mercado, hay que elaborar un modelo de amenazas, por lo que se debe examinar la arquitectura de seguridad, los vectores, etc., y además de eso, la FDA se está preparando para exigir pruebas de lápiz a terceros en las presentaciones previas al mercado”, comenta Mularski. “Con los dispositivos de legado, esas presentaciones de premercado no son tan completas.”
Mularski admite que algunos dispositivos antiguos particularmente vulnerables suelen estar más aislados en la red por su diseño, en parte porque son más reconocibles como activos vulnerables. Las máquinas de rayos X de Windows 95, por ejemplo, son fáciles de detectar como un objetivo potencial para un mal actor.
“En su mayor parte, creo que la mayoría de los entornos hospitalarios hacen un buen trabajo al reconocer que tienen estos viejos dispositivos y los que son más vulnerables”, sostiene.
