Expertos en informática de todo el mundo acudieron a la conferencia de seguridad Black Hat 2018 que se celebró en la ciudad de Las Vegas, EE.UU. En una de las demostraciones más llamativas del evento, dos investigadores de seguridad revelaron una vulnerabilidad en los marcapasos que permite a un hacker instalar actualizaciones maliciosas de manera remota, lo que provocaría un mal funcionamiento del dispositivo y amenazar la vida de los pacientes.
En una sesión en vivo, Jonathan Butts, de QED Secure Solutions, y Bill Kim Rios, de Whitescope.io, afirmaron que ya informaron sobre el error del dispositivo al fabricante Medtronic en enero de 2017, sin embargo, los métodos de ataque descubiertos aún funciona.
Ahora bien, se demostró que era posible comprometer el CareLink 2090, un dispositivo utilizado por los médicos para controlar los marcapasos una vez que estos son implantados en el cuerpo. El primer método de hack se aprovecha de las actualizaciones de Medtronic, las cuales no están protegidas por conexión HTTPS y el firmware no está asegurado de forma digital. De esta forma, pudieron ejecutar una actualización maliciosa de forma remota que los médicos no pueden detectar con facilidad.
El otro método de ataque aprovecha las vulnerabilidades en servidores usados por Medtronic dentro de su red interna para lanzar las actualizaciones de software a sus dispositivos. En este sentido, al analizar el método de comunicación entre el programador y los servidores, detectaron cómo un hacker puede unirse a la VPN para intervenir en el proceso de actualización.
Además, los investigadores presentaron otro truco para hackear una bomba de insulina, también fabricada por Medtronic, a través del uso de una radio impulsada por software, que les permitió influir en la bomba para detener las dosis programadas de insulina. Como afirmaron los expertos, estas vulnerabilidades parecen no preocupar a la compañía, que luego de un año no ha realizado esfuerzos por revertir estos errores.
