Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Se descubre que los dispositivos médicos desechados contienen una gran cantidad de información sobre los centros de atención médica
Los investigadores descubrieron que las bombas de infusión que se venden en mercados secundarios como eBay todavía contienen una gran cantidad de información confidencial sobre los hospitales que alguna vez las poseyeron.
El investigador principal de seguridad de Rapid7, Deral Heiland, y varios otros examinaron 13 marcas de dispositivos de bombas de infusión, como Alaris, Baxter y Hospira, y encontraron credenciales de acceso y datos de autenticación de sus propietarios anteriores. Las máquinas son dispositivos cruciales que se encuentran junto a las camas de los hospitales y transmiten líquidos, medicamentos o nutrientes al sistema circulatorio del paciente.
El examen arroja luz sobre un problema persistente dentro del campo de los dispositivos médicos: los datos críticos almacenados que quedan en los dispositivos de bomba de infusión que no se purgan adecuadamente antes de su baja. Los dispositivos suelen venderse en mercados secundarios cuando los hospitales los actualizan o los reemplazan con modelos más nuevos.
Ocho de los 13 dispositivos examinados contenían información confidencial, lo que, según Heiland, era evidencia de que algunos habían sido eliminados adecuadamente de los datos antes de venderse en sitios como eBay.
La información dejada en la mayoría de los dispositivos ofrecería a alguien contraseñas WiFi que tenían una alta probabilidad de seguir siendo válidas en organizaciones médicas en los EE. UU.
“Definir restricciones sobre lo que se puede o no vender en línea se vuelve difícil. ¿Cómo controlaría el mercado (Ebay, por ejemplo) esto para identificar si los dispositivos han sido eliminados o no? Heiland dijo a Recorded Future News.
“En este caso creo que la responsabilidad es de ambas partes. En primer lugar, los proveedores de tecnología médica integrada deberían proporcionar un método simple y bien documentado para purgar los dispositivos antes de su desmantelamiento y transferencia. En segundo lugar, las organizaciones médicas que aprovechan estas tecnologías deben implementar procesos y procedimientos (de la cuna a la tumba) que garanticen que los dispositivos se eliminen adecuadamente de los datos antes de ser desmantelados y vendidos o transferidos a otra parte”.
Las bombas de infusión han sido durante mucho tiempo una fuente de preocupación para los expertos y proveedores de ciberseguridad que han pasado más de una década tratando de mejorar su seguridad. El FBI advirtió en septiembre que las vulnerabilidades en los dispositivos están dejando una puerta abierta a los ciberataques.
Shawn Surber, director senior y estratega de atención médica de la firma de ciberseguridad Tanium, dijo que las instituciones de atención médica “deberían ser tan disciplinadas al deshacerse de los dispositivos como lo son con los materiales biológicos”.
"Escenarios como este son muy comunes, ya que las bombas médicas y otros dispositivos periféricos a menudo se pasan por alto como vectores de ataque", afirmó. “La exposición de las credenciales y claves de la red inalámbrica interna podría fácilmente llevar a que un atacante obtenga acceso interno a una red y explote otros dispositivos vulnerables en esa red. A partir de ahí, el atacante podría distribuir fácilmente malware o ransomware, o recopilar y filtrar silenciosamente información de salud personal [PHI]”.
Un ataque de este tipo requeriría una gran proximidad física a un objetivo, pero, según Surber, podría ser particularmente dañino "ya que el atacante podría exfiltrar PHI en su propio dispositivo, en lugar de enviarla a través de otros mecanismos que tienen más probabilidades de ser capturados". por soluciones de seguridad de red”.
Varios de los fabricantes de bombas de infusión mencionados en el informe de Rapid7 no respondieron a las solicitudes de comentarios.
Un portavoz de Becton, Dickinson and Company, la empresa detrás de la marca de bombas de infusión Alaris, dijo que los datos presentes en BD Alaris Systems están "protegidos por controles presentes dentro del sistema y el cumplimiento de las mejores prácticas de seguridad de la industria con respecto al control de acceso, la identificación y la autorización". , seguridad del personal y protección física de los bienes”.
Los problemas documentados en el informe "se han compartido previamente con los clientes de BD y se solucionan o mitigan mediante controles de compensación en el último sistema de infusión BD Alaris", dijo el portavoz.
“Los datos latentes sobre dispositivos médicos heredados que no han sido desmantelados adecuadamente es un problema conocido en toda la industria. BD publicó un boletín de seguridad del producto sobre los datos residuales del sistema BD Alaris en 2016 para llamar la atención sobre este problema y brindar a los clientes recomendaciones para proteger los datos de los pacientes”.
El portavoz añadió que la empresa ha introducido funciones adicionales en versiones recientes de su software que facilitan la limpieza de datos a los clientes.
También ha publicado varios libros blancos, divulgaciones y documentos que instan a los clientes a borrar los datos de registro históricos antes de desmantelar los sistemas o mover los dispositivos entre instalaciones.
La compañía señaló que otra organización de ciberseguridad sanitaria de la que es miembro publicó una guía este año sobre cómo los hospitales y centros sanitarios pueden gestionar mejor la tecnología heredada, como las bombas de infusión.
El Foro Internacional de Reguladores de Dispositivos Médicos también está muy involucrado en la armonización de las regulaciones globales sobre dispositivos médicos y desafíos como dispositivos mal desmantelados que se transfieren a nuevas instalaciones, agregó el portavoz.
Sin embargo, los investigadores de Rapid7 creen que se deberían firmar acuerdos contractuales que regulen el proceso de eliminación de datos de los dispositivos.
Surber estuvo de acuerdo y dijo que la responsabilidad de limpiar los dispositivos al final de su uso debe estar explícitamente descrita en todos los acuerdos entre el hospital y el proveedor de servicios del dispositivo.
John Gallagher, vicepresidente de la empresa de seguridad de Internet de las cosas (IoT), Viakoo Labs, señaló que normalmente los dispositivos médicos de IoT se gestionan y operan fuera del personal de TI de una organización.
“Ya sea ciberhigiene, configuración adecuada de la red o, como en este caso, purgar y desmantelar dispositivos, es un nuevo conjunto de habilidades para estos equipos. Debería abordarse mediante una mejor coordinación o capacitación entre equipos (o alguna combinación de ambas)”, dijo.
“Si bien este ejemplo mostró que se divulga información de la red, también podría ser información de identificación personal. Las implicaciones legales y financieras deberían impulsar a las organizaciones a asegurarse de contar con los procesos adecuados para evitar que estos datos se divulguen”.
Jonathan Greig es reportero de noticias de última hora en Recorded Future News. Jonathan ha trabajado como periodista en todo el mundo desde 2014. Antes de regresar a la ciudad de Nueva York, trabajó para medios de comunicación en Sudáfrica, Jordania y Camboya. Anteriormente cubrió la ciberseguridad en ZDNet y TechRepublic.