Equipos de oncoloxía e radioloxía foron xa atacados mediante «ransomware»
26 jul 2017 . Actualizado ás 17:08 h.O recente ataque do virus WannaCry mostrou como a interconexión dos sistemas sanitarios e as débiles prácticas de seguridade informática poden pór en risco as organizacións sanitarias e aos pacientes. Aínda que non foi o primeiro ataque de ransomware que tiña entre as súas obxectivos institucións da área da saúde, este episodio afectou notablemente aos aparellos de radioloxía con software baseado en Windows de dous hospitais estadounidenses.
Investigadores de TrapX Security, un socio de Cisco que desenvolve ferramentas de defensa cibernética, advirten que os dispositivos médicos no punto de mira do ransomware e doutros malware van en aumento. Denominan a este tipo de ataque medjack (un híbrido de medical e hacking), o que podería traducirse como «secuestro de dispositivos médicos».
Do mesmo xeito que moitos outros dispositivos da Internet das Cousas, os aparellos médicos non foron -nin son, aínda- deseñados ou construídos tendo en conta a seguridade. A miúdo executan sistemas antigos e sen parches e de cando en cando son supervisados polo persoal TI (tecnoloxías da información) do hospital. Mesmo cando os equipos de seguridade son conscientes de vulnerabilidades, ás veces non poden actuar porque só o provedor ten acceso a eses produtos.
Noutros casos, os técnicos deben pór o parche en espera porque a actividade hospitalaria non pode permitirse o luxo de deixar fóra de liña (aínda que sexa por un curto período de tempo) equipos críticos para a saúde de moitas persoas, ou arriscarse a que a súa eficacia se vexa comprometida. E ás veces, o fabricante e terceiras partes, incluídas as axencias gobernamentais, deben aprobar calquera modificación que se faga nestes aparellos, o que pode levar anos.
Controlar un marcapasos
Segundo TrapX «os dispositivos médicos convertéronse nun punto clave para que os cibercriminales móvanse lateralmente dentro das redes dos hospitais». Os atacantes saben que bloqueando estes aparellos con ramsonmware poden obter sumas elevadas en forma de rescate. Os máis perigosos tamén poderían, potencialmente, tomar o control destes dispositivos -incluídos aqueles que son implantables, como marcapasos e dispositivos de asistencia ventricular (DAV)- e facer dano aos pacientes.
Recentemente TrapX investigou un ataque a un sistema de oncoloxía con coñecidas vulnerabilidades de Windows XP. Os delincuentes infectaran tres máquinas (unha das cales se utilizaba para manexar un potente láser), e convertido unha delas nun botnet mestre que distribuía malware (unha variante do virus Conficker) a través da rede do hospital.
Outro incidente de medjack afectou a un sistema de resonancia magnética e, de novo, aproveitou un fallo de seguridade en Windows XP. Os atacantes obtiveron datos de pacientes no sistema, pero pronto se deron conta da oportunidade de controlar dos sistemas PACS (Picture Archiving Collection System). Un servidor PACS é un sistema de almacenamento dixital, transmisión e descarga de imaxes radiológicas. As imaxes son transferidas a unha estación de traballo para o seu visualización e a emisión de informes. A investigación forense do ataque demostrou que os delincuentes fora capaces de operar na rede do hospital impunemente durante máis de 10 meses.
Pagar o rescate antes que deixar «offline» unha máquina vital
Os ciberataques non só poden bloquear equipos críticos para a vida de moitos enfermos; tamén preocupa que retarden o fluxo de datos, socavando a capacidade dos médicos para diagnosticar e tratar aos pacientes.
Redes mal segmentadas
No pasado, os dispositivos médicos complexos, como sistemas PACS, bombas de infusión e equipos de monitorización, adoitaban ter redes de datos xestionadas polos fabricantes, polo que estaban illados fisicamente doutras redes. Hoxe en día, co amplo ancho de banda dispoñible, é máis práctico que todos os datos flúan pola mesma rede e utilizar unha segmentación lóxica para separar os distintos tráficos: dispositivos clínicos, redes inalámbricas administrativas e invitadas. Pero se non se fai correctamente, o risco de ataques aumenta.
Debilidade de Windows XP
Windows XP é básico para o funcionamento da tecnoloxía en áreas como a atención sanitaria, a enerxía e outros sectores. Os cibercriminales saben que este sistema operativo é un talón de Aquiles porque xa non ten soporte oficial por parte de Microsoft (finalizou no 2014, aínda que a versión Windows Embedded Industry continuará recibindo actualizacións de seguridade ata o 2019) e é extremadamente difícil e custoso para as empresas actualizar os dispositivos críticos que executan XP. Por iso estas máquinas son especialmente atractivas como branco do ransomware: as empresas prefiren pagar o rescate antes que exporse a que queden fose de liña ou completamente inoperativas.
Falta de investigadores
Hai máis ameazas que tempo e persoal para investigalas. Máis do 40 % das entidades sanitarias recoñeceron que teñen miles de alertas de seguridade diarias, e só o 50 % delas investíganse. Cando o fan descobren que o 31 % son ameazas lexítimas, pero unicamente ao 48 % pónselles remedio.