Investigadores de seguridad han revelado lo fácil que es hackear marcapasos y otros dispositivos relacionados con la salud.

Cualquier aparato se puede hackear, las únicas diferencias es lo fácil que es hacerlo, y lo que es posible ganar o perder.

Siempre que hablamos de un nuevo tipo de ataque hacker, las consecuencias suelen estar claras; podemos perder nuestros documentos, nuestra información privada puede ser publicada, o en el peor de los casos nos pueden chantajear.

Pero en el caso de un marcapasos, o de cualquier otro dispositivo relacionado con nuestra salud, un ataque hacker puede suponer la muerte; lamentablemente, parece que estas duras consecuencias no han servido para que los fabricantes se pongan serios con la seguridad de sus productos.

Hackear marcapasos es tan fácil que da miedo

Un estudio de la compañía de seguridad Whitescope ha puesto en evidencia la brutal inseguridad de la que “presumen” estos dispositivos; ninguno de los grandes fabricantes del sector se salvan.

Los investigadores analizaron marcapasos, desfibriladores, y los sistemas usados para monitorizarlos, de cuatro fabricantes; los resultados son impactantes, habiendo encontrado nada menos que 8000 vulnerabilidades diferentes en total.

Prácticamente todos los productos de los fabricantes contaban con algún tipo de bug de seguridad; los principales culpables eran librerías de terceros usadas en el código fuente de los dispositivos, que no habían sido actualizadas a la última versión. Aunque los bugs se encuentren y se tapen, no sirve de mucho si los fabricantes siguen reutilizando el mismo código de siempre por comodidad.

En el caso de que el firmware de los dispositivos se pueda actualizar, las contraseñas suelen venir en el propio código (una de las peores prácticas de programación); por lo que es fácil introducir firmware falso que cambie la manera en la que funciona el marcapasos.

Esas no son las únicas prácticas peligrosas; más llamativo aún es que, cuando estos marcapasos se conectan con dispositivos de monitorización, no es necesario introducir ninguna contraseña.

Malware y firmware falso para marcapasos, el gran peligro de estos dispositivos

Así que cualquiera puede acceder al marcapasos en cuanto obtenga una conexión; de hecho, no existe ningún sistema de autenticación con los servidores de las compañías para asegurarse de que el dispositivo al que se va a conectar es genuino.

No solo eso, sino que la comunicación no está cifrada; así que es muy fácil, obtener los datos que se retransmiten desde el marcapasos hasta los sistemas de monitorización. Algunos de estos sistemas incluyen puertos USB; por los que es posible introducir malware que se ejecutará sin ningún tipo de obstáculo.

Los investigadores han decidido censurar su propio trabajo para evitar que pueda usarse con fines malignos. Los nombres de los fabricantes y de los dispositivos no aparecen; y algunos detalles de los bugs han sido borrados, al menos hasta que sean arreglados por las compañías. Teniendo en cuenta la magnitud de estos errores, es poco probable que esto ocurra de la noche a la mañana.