El Departamento de Seguridad Nacional (DHS, por sus siglas en inglés) de EE.UU, ha advertido sobre una vulnerabilidad crítica en el sistema de transmisión de datos de los implantes cardíacos de Medtronic. Este fallo podría permitir a un hacker modificar la configuración de los implantes, sin embargo, Medtronic considera que la función de monitoreo de los dispositivos trasciende el riesgo.
En concreto, la vulnerabilidad afecta a los dispositivos que utilizan Conexus, el protocolo de telemetría inalámbrica de radiofrecuencia de la firma de hardware. En este sentido, los desfibriladores ‘cardioconversores’ implantables y los desfibriladores de resincronización cardíaca son los dispositivos que pueden utilizarse para explotar la vulnerabilidad.
Hasta el momento, no existen registros de que se haya llevado algún ataque, sin embargo, un hacker que esté cerca de un paciente con estos implantes podría interceptar la comunicación del dispositivo cuando Conexus está activo. Al interrumpir el sistema de comunicación, el hacker podría acceder a los datos enviados desde el dispositivo o incluso cambiar su configuración.
Según el DHS, la falla radica en la falta de encriptación o autenticación de datos de Conexus, por lo que un hacker solo necesitaría un conocimiento muy básico para explotar el fallo. Por su parte, Medtronic afirmó que a pesar de que un hacker podría acceder a Conexus, primero tendría que saber todo sobre dispositivos médicos, incluyendo su telemetría inalámbrica y electrofisiología.
Además, Medtronic reveló que para realizar un ataque de este tipo, el hacker tendría que estar a 6 metros del paciente cuando la función de radiofrecuencia está en modo activo. Si tenemos en cuenta que la radiofrecuencia se activa para las consultas médicas de seguimiento y otras situaciones impredecibles, es complicado que un atacante lleve a cabo el ataque.
Finalmente, el DHS dijo que Medtronic ya ha aplicado medidas adicionales de control, monitoreo y respuesta ante amenazas y al uso indebido de Conexus. Asimismo, la firma de hardware médico actualmente trabaja en actualizaciones de seguridad para fortalecer sus sistemas.