Se ha descubierto una serie de vulnerabilidades en equipamiento médico como aparatos de anestesia y respiratorios que podrían permitir que unos hackers controlasen dichos equipos de forma remota. Estos bugs podrían provocar que estos hackers mandaran comandos remotos si estos equipos están conectados a un servidor de terminal en la red del hospital, pudiendo manipularlos de forma maliciosa a placer.

Unos bugs pueden ser aprovechados para controlar aparatos de anestesia y respiratorios

inteligencia artificial pulso medico

Unos investigadores de seguridad han encontrado una vulnerabilidad en un protocolo de red usado en equipos respiratorios y de anestesia tal y como recoge TechCrunch. Estos investigadores de la firma de seguridad sanitaria CyberMDX ha señalado este protocolo usado en dispositivos GE Aestiva y GE Aespire, el cuál puede permitir a hackers mandar comandos, como decimos, si están conectados a un servidor de terminal en la red del hospital en el que se encuentren.

Estos comandos, según los investigadores, pueden silenciar las alarmas que emiten estos aparatos, alterar los registros y ser objeto de abuso para cambiar la composición de los gases aspirados que se usan en estas máquinas, tanto en respiradores como en aparatos de anestesia. Lo grave de esta vulnerabilidad es que, según el Departamento de Seguridad Nacional en un comunicado publicado esta semana, para explotar este bug se necesita un “bajo nivel de habilidad”.

Según Elad Luz, jefe de investigación de CyberMDX: “Los dispositivos utilizan un protocolo propietario. Es bastante sencillo descifrar los comandos. Según Luz, uno de estos comandos obliga al dispositivo en cuestión a usar una versión anterior del protocolo, la cuál aún está presente para así garantizar la compatibilidad con versiones anteriores. Ninguno de esos comandos requiere de autenticación.

Luz insiste en que “en cada versión, primero puede enviar un comando para solicitar cambiar la versión del protocolo a la más antigua, y luego enviar una solicitud para cambiar la composición del gas. Siempre que el dispositivo sea portado a la red a través de un servidor de terminal, cualquier persona familiarizada con el protocolo de comunicación puede forzar una reversión y enviar una variedad de comandos ilegítimos a la máquina”.

medico doctor 1

En otras palabras, los dispositivos están más seguros si no están conectados a la red. Estas vulnerabilidades fueron reveladas por CyberMDX en octubre del año pasado, y aseguró que las versiones de de los modelos Aestiva y Aespire 7100 y 7900 estaban afectadas. Estos modelos se han implementado en hospitales e instalaciones médicas en los Estados Unidos. Aunque la compañía se ha negado a dar la cifra de cuántos dispositivos están afectados, la capacidad de modificar la composición del gas ya no está disponible en estos sistemas vendidos a partir del año 2009. 

La evaluación de CyberMDX se basa en que existe riesgo para la atención del paciente en los estándares internacionales de seguridad de la atención médica, y aseguran: “Después de una investigación formal de riesgos, hemos determinado que este escenario de implementación potencial no presenta riesgos clínicos ni riesgos directos para el paciente, y no existe vulnerabilidad con el dispositivo de anestesia en sí”, según dijo la portavoz de la firma Amy Sarosiek a TechCrunch. “Nuestra evaluación no nos lleva a creer que hay problemas de seguridad del paciente”.

Imagen de portada | Richard Catabay en Unsplash