Controladores de marcapasos siguen siendo vulnerables después de un año
Una marca popular de marcapasos sigue siendo vulnerable a más de un año y medio de que el fabricante conociera las deficiencias en su seguridad, según investigadores durante una presentación en la conferencia Black Hat.
El producto en cuestión es el monitor CareLink 2090 de Medtronic, utilizado por los médicos para controlar la configuración del marcapasos, y los investigadores son Billy Rios de QED Secure Solutions y Jonathan Butts de WhiteScope, quienes tienen una impresionante trayectoria en encontrar fallas en lugares inesperados.
El año pasado, el par usó una sesión de exhibición para resaltar fallas que podrían permitirle a un atacante controlar los lavados de autos pobremente asegurados, mientras que Rios también co-investigó las debilidades en diversos dispositivos como seguridad de puertas electrónicas y máquinas de rayos X.
Sin embargo, la sesión de este año sobre el pirateo de marcapasos sonó mucho más peligrosa. Un tema médico que la pareja subrayó al demostrar un ataque por separado a la bomba de insulina MiniMed de Medronic.
Según informaron los periodistas que asistieron a la demostración, la vulnerabilidad que hace posible que un atacante ejecute malware en el CareLink 2090 se debe a un diseño de software deficiente, principalmente porque las actualizaciones de software no están firmadas ni cifradas.
Esto dista mucho de ser un problema desconocido en los dispositivos IoT, pero la sesión no se trataba simplemente de lo que es posible, sino de cómo respondió el fabricante después de que le informaron sobre la debilidad.
Desde el 9 de agosto, el problema había sido reportado a Medtronic hace 570 días, con una prueba de concepto hace 155 días, dijeron.
Como observan las notas de la sesión de Black Hat:
Los investigadores siguieron las políticas de divulgación coordinada en un intento de ayudar a mitigar las preocupaciones de seguridad. Lo que siguió fue una montaña rusa de 18 meses de falta de respuesta, ineficiencias técnicas y reacciones engañosas.
Medtronic respondió a la presentación con esta declaración:
Si bien el proceso de asesoramiento tomó más tiempo de lo que todas las partes deseaban, este proceso fue necesario para coordinar con WhiteScope, ICS-CERT y la FDA para determinar si esto debería dar lugar a una divulgación pública o asesoramiento.
Un aviso de ICS-CERT para el CareLink 2090 apareció en febrero, después de que el problema se informó a ellos presumiblemente después de que las comunicaciones directas con Medtronic no tuvieron el efecto deseado.
Esto menciona mitigaciones como apagar el dispositivo cuando no esté en uso y conectarse a él a través de VPN, recomendaciones que hicieron eco en Medtronic. La compañía dio seguimiento la semana pasada publicando una advertencia sobre los modelos MyCareLink Patient Monitor 24950 y 24952.
Seguridad por oscuridad
Nada de esto hace suficiente por los pacientes, muchos de los cuales permanecerán felizmente inconscientes de que los productos utilizados para manejar sus condiciones de salud podrían tener problemas ocultos.
Esta inconciencia a menudo permanece incluso después de que las compañías médicas revelan asuntos de este tipo. Como dijo Rios durante la demostración:
Cuando alguien recibe este aviso y está leyendo este lenguaje, es casi imposible que comprenda cuáles son los riesgos.
Es bueno cuando los problemas se ponen de manifiesto, pero a veces dejarlos en manifiesto no siempre es suficiente.