Hace unos años, la serie Homeland planteaba una trama que parecía -entonces- difícil de creer: el vicepresidente de los Estados Unidos moría cuando un grupo hackers islamistas se hacía con el número de serie de su marcapasos por control inalámbrico y lo paraba. Pero por muy inverosímil que pareciera entonces, el tiempo ha demostrado que el guión de la serie no era una ciberparanoia: expertos en todo el mundo advierten hoy en día de que los implantes médicos -marcapasos, bombas de insulina, o electrodos para mitigar dolores entre otros muchos tipos- son cada vez más susceptibles de sufrir ciberataques.

Un ejemplo concreto: el propio Dick Cheney, el todopoderoso vicepresidente de Estados Unidos bajo el mandato de George W. Bush, ha reconocido que pidió a sus médicos que desactivaran la función de control remoto de su desfibrilador cardioversor, un aparato que detecta arritmias y las corrige con una descarga eléctrica. Y dio la orden antes de que se televisara el episodio.

María Carmen Cámara, investigadora del Laboratorio de Seguridad Informática de la Universidad Carlos III (Madrid), corrobora que este hackeo no se trata de ciencia ficción. Junto con otros dos científicos de dicha institución, ha publicado uno de los estudios más completos sobre la ciberseguridad de implantes médicos que se han hecho hasta la fecha en todo el mundo. Su conclusión: en la sanidad 2.0 algunas vidas penden no de un hilo… sino de una onda. «Es posible comunicarse con los dispositivos médicos implantables e interceptar la señal entre el dispositivo y el programmer, el aparato con el que el médico lo lee y controla», explica la investigadora a PAPEL.

Así, el implante se convierte en un auténtico topo en nuestro cuerpo. “Se puede escuchar y extraer información sensible y de carácter médico altamente confidencial”, explica. “Algunos ejemplos serían el diagnóstico del paciente, los datos del hospital, el estado del dispositivo, el nombre y la fecha de nacimiento del paciente, y la marca, el modelo y el número de serie del dispositivo”.

Esta información, señala Cámara, no sólo es sensible en cuanto a la privacidad, sino que permite llevar a cabo ataques más sofisticados. Se refiere a modificar el funcionamiento o deshabilitar y reprogramar terapias suplantando a una entidad autorizada. “En la actualidad ya existen ataques probados en laboratorio que han conseguido deshabilitar terapias programadas en un desfibrilador cardiaco [tal y como temía Dick Cheney] por vía inalámbrica o reprogramar la terapia de un implante e inducir un estado de shock en el paciente”.

Medtronic es una de las grandes empresas de marcapasos del mundo. “El último registro de estos dispositivos en España es de 2015 y señala que ese año se colocaron 38 mil 500 marcapasos así como 6 mil 400 desfibriladores, muchos de los cuales se monitorizan en remoto”, explica un miembro del equipo de cardiología del Hospital de Navarra. “En la actualidad desde nuestro servicio tenemos 2 mil 900 pacientes en seguimiento, la mitad de los cuales por monitorización remota, y entre ellos todos los que llevan desfibrilador. Es una práctica que está ascendiendo de manera brutal, pues es más cómodo para el paciente, y ofrece un plus de seguridad”.

Y es que, afirma el galeno, “los fabricantes aseguran que es imposible realizar cambios ni programación remota». Pero los ensayos en laboratorio demuestran que no es así, algo de lo que advierte la propia administración de Alimentos y Medicamentos de los Estados Unidos (FDA), si bien señala que en los dispositivos aprobados los beneficios son muchos más que los riesgos: «Todos ellos son vulnerables a ataques”.

Desde Medtronic afirman que, hasta la fecha, no se les ha sido notificado ni se ha detectado ningún fallo de ciberseguridad en ninguno de estos dispositivos.

Pero lo cierto es que son posibles, señala Cámara, como lo es incluso drenar la batería del dispositivo a base de llamadas perdidas. “Los IMD (dispositivos médicos implantables) funcionan gracias a una batería integrada. Lo que más energía gasta son las tareas de comunicación, por lo que estos ataques consisten en intentar comunicarse repetidamente con el dispositivo”. Según la especialista, para esto ni siquiera es necesario ser el programmer: sólo hace falta enviar un mensaje al IMD, que comprobará que no es una entidad autorizada y rechazará el acceso. Pero esta actividad consume gran parte de su batería y llegará un momento en que quedará inoperativo.

Los hay que han llegado a hacerse con el control del aparato gracias a una simple antena direccional, como el conocido (y difunto) hacker Barnaby Jack, que logró así aumentar 300 veces la dosis de insulina suministrada por una bomba de este medicamento. Pero, irónicamente, lo que la vida -o más bien la muerte- de Barnaby acabó por demostrar es que, por muchos fallos de seguridad que presenten los dispositivos médicos implantables, la mano del hombre es mucho más susceptible de suministrar la dosis letal.

En julio de 2013 el hacker era director de seguridad de implantes médicos para IOActive y se disponía a participar en la conferencia de ciberseguridad Black Hat de Las Vegas. Su objetivo era presentar un software que permitía enviar un electroshock a cualquier persona con marcapasos en un radio de 15 metros, y un sistema que hackeaba bombas de insulina a 100 metros de distancia sin necesidad de número de serie. Una semana antes de sus explicaciones públicas apareció muerto en su apartamento de San Francisco. Se determinó que la causa fue una sobredosis aparentemente accidental.

Fuente: elmundo.es