Un grupo de médicos y expertos en informática de la Universidad de California ha demostrado con facilidad que es posible modificar de forma remota los resultados de las pruebas médicas de los pacientes a través de un ataque a la conexión que existe entre los dispositivos médicos de laboratorio y los sistemas de registros médicos.
Según el informe, estos ataques podrían ser más probables contra pacientes de alto perfil, como celebridades o jefes de estado, sin embargo, aseguran que se trata de una amenaza que pudiese ser utilizado por actores extranjeros para paralizar la infraestructura del sector médico de EE.UU.
El ataque fue llamado Pestilence, y se basa en una prueba de concepto que fue demostrada en la conferencia Black Hat de este año llevada a cabo en Las Vegas. A pesar de que las vulnerabilidades que afectan estos sistemas médicos no son nuevas, los científicos demostraron cómo pueden ser aprovechadas para comprometer la salud de los pacientes.
Los estándares del Nivel de Salud 7 o HL7, los cuales son usados para la transferencia de datos de pacientes dentro de redes hospitalarias, son los principales detonantes de estas vulnerabilidades.
En concreto, es el lenguaje HL7 el que puede ser aprovechado por los hackers, el mismo que hace posible la comunicación entre todos los dispositivos y sistemas de comunicación en una instalación médica, y fue desarrollado en la década de 1970 sin mayores cambios de seguridad informática hasta la fecha.
Anteriormente, se han hecho públicas las metodologías y vulnerabilidades utilizadas para crear Pestilence, sin embargo, lo nuevo de esta demostración es la combinación del conocimiento de los científicos e informáticos, junto al conocimiento médico para aprovechar el estándar HL7 e impactar de forma negativa sobre el proceso de atención del paciente.
Los investigadores utilizaron un ‘ataque de hombre en el medio’, a través del cual lograron automatizar el proceso para obtener el control de los datos de forma remota. En vez de infiltrarse en el sistema médico existente, los expertos construyeron un banco de pruebas compuesto por dispositivos de pruebas de laboratorio médicos, ordenadores y servidores.
Esto les permitió realizar pruebas como análisis de sangre y de orina, interceptar los resultados de laboratorio, modificarlos y luego enviar estos datos a un sistema de registros médicos. Por su parte, se ha publicado un White Paper con las medidas que deben adoptar los hospitales y las agencias gubernamentales para proteger la infraestructura médica de este tipo de ataques.
