El Internet de las Cosas del corazón: ¿Es posible ‘hackear’ un marcapasos?
En el ámbito de la medicina, la internet de las cosas no solo está presente en las pulseras, relojes inteligentes y demás ‘wearables’ que se han popularizado en los últimos años, sino que ha llegado a otro tipo de dispositivos bastante más sofisticados.Muchos marcapasos ya disponen de conexiones que les permiten intercambiar información con los servidores de sus distribuidores, así como con los equipos de hospitales y médicos.
Aunque no siempre esté activa, esta funcionalidad sirve para configurar y ajustar los parámetros de los aparatos y para monitorizar su actividad de forma remota y transmitir datos de su portador.
La conexión tiene sus beneficios, especialmente para los pacientes que necesiten chequeos constantes y un control exhaustivo de su estado de salud. Sin embargo, como ocurre con cualquier otra máquina conectada, también plantea dudas acerca de su seguridad.
Aunque algunos investigadores y ‘hackers’ han comenzado a trabajar en este campo y a buscar posibles vulnerabilidades, no lo tienen nada fácil. Los fabricantes no quieren dar detalles sobre el diseño ni sobre las especificaciones del ‘software’ que ejecutan.
Pero los estudios ya han dado sus frutos. Un equipo de investigadores del Centro Arquímedes para la Seguridad de Dispositivos Médicos de la Universidad de Michigan (Estados Unidos) confirmó en 2008 que los marcapasos pueden ‘hackearse’. Demostró que es posible extraer información personal de los aparatos o incluso modificar su configuración, poniendo en riesgo la vida del paciente.
Sin embargo, en aquella primera aproximación, los expertos necesitaban encontrarse suficientemente cerca del portador del dispositivo. El obstáculo se sorteó más tarde, en 2013, cuando otro investigador en seguridad afirmó haber superado la barrera de la distancia.
El ‘hacker’ Barnaby Jack iba a explicar en el congreso Blackhat de aquel año cómo puede controlarse un marcapasos gracias a su sistema de comunicación inalámbrica desde unos 15 metros. Desgraciadamente, falleció solo unos días antes, dejando en vilo a asistentes y curiosos y alimentando una teoría de la conspiración que pronto quedó desacredita.
Lo que tampoco se ha demostrado todavía es si es posible controlar los marcapasos a través de una conexión a internet como las que utilizan ordenadores y móviles. Todavía no existe una investigación publicada que lo confirme o desmienta.
Recientemente, la experta en seguridad Marie Moe se ha embarcado en un nuevo proyecto para analizar los riesgos y puntos débiles de estos dispositivos con la ayuda de otros colegas del sector. A Moe le afecta directamente la cuestión, puesto que ella misma lleva uno implantado en su cuerpo.
Su objetivo es poner de manifiesto que la seguridad por ocultación, impuesta por las empresas que desarrollan los dispositivos y poseen los derechos del ‘software’ y ‘hardware’, no es ninguna garantía de que los productos sean seguros para los pacientes.
La FDA ya alertó sobre las vulnerabilidades encontradas en las bombas para inyección de medicamentos. Los agujeros permitían actualizaciones de ‘firmware’ no autorizadas, que podían usarse para configurar dosis letales de las drogas.
Como en este caso, la existencia de dudas, según Moe, justifica las investigaciones. Sus hallazgos servirían para prevenir futuros ataques y permitir a los fabricantes arreglar los posibles errores de seguridad de sus dispositivos. Ningún fallo puede permitirse en una máquina que ayuda al corazón de una persona a latir y que, por tanto, es crucial para la vida de su dueño.
