Bombas de insulina vulnerables a un ciberataque

AnimasVibe

La compañía Johnson & Johnson está emitiendo una alerta de seguridad a todos los usuarios de la bomba de insulina Animas OneTouch Ping, la cual se ha descubierto que posee una vulnerabilidad que podría hacer que las dosis de insulina se modificaran vía remota y sin que el usuario se entere.

La bomba Animas OneTouch Ping salió al mercado en 2008, entre sus ventajas está el uso de un mando inalámbrico que le permite al usuario ajustar las dosis de insulina sin necesidad de tener que acceder al dispositivo, el cual casi siempre está debajo de la ropa. Al día de hoy se estima que más de 114.000 usuarios usan diariamente esta bomba tan sólo en los Estados Unidos y Canadá.

Jay Radcliffe, investigador de la firma de seguridad informática Rapid7 y diabético, descubrió en abril de este año que las comunicaciones entre la bomba y el mando no contaban con ningún tipo de cifrado, lo que podría hacer que cualquier hacker con los conocimientos suficientes pueda tener acceso a esa información y modificar la dosis de forma remota, lo que podría poner en riesgo la vida del paciente.

Animas OneTouch Ping

Radcliffe informó de inmediato a J&J de la vulnerabilidad de su dispositivo, y desde entonces han estado trabajando para resolverlo. La compañía asegura que los riesgos de sufrir un ataque son mínimos, ya que se requieren amplios conocimientos técnicos, equipo sofisticado y estar a menos de 8 metros de la bomba para interceptar las comunicaciones, ya que la bomba no se conecta a internet. Sin embargo, la vulnerabilidad está ahí.

J&J ha enviado cartas a todos los usuarios de esta bomba donde les asegura que el dispositivo es seguro y pueden seguirlo usando, sin embargo se mencionan algunas recomendaciones para no ser blanco de potenciales ataques, como por ejemplo dejar de usar el mando y programar la bomba de forma manual, ya que para cifrar las comunicaciones se requieren modificaciones en la programación del software, algo que requeriría retirar todos los dispositivos del mercado para instalar la actualización, lo que representa dinero y tiempo, por lo que han decidido dejarlo así y únicamente emitir las recomendaciones de seguridad.

9079058_orig

Lamentablemente este no es el primer caso de un dispositivo médico con vulnerabilidades, ya han surgido casos de marcapasos y desfibriladores que presentan el mismo patrón de comunicaciones sin cifrado, lo que ha provocado que la FDA esté iniciando una investigación para que las compañías responsables de estos casos, y que ponen en riesgo la vida de sus usuarios, tengan la obligación de solucionar este tipo de fallos, donde también se incluyen recomendaciones para que las compañías trabajen con investigadores de seguridad con el fin de mitigar este tipo de riesgos que empiezan a ser comunes.

Basado en el artículo The Wall Street Journal