La sanidad, expuesta a los ciberriesgos del IoT

El internet de las cosas médica (IoTM, por sus siglas en inglés) supone una auténtica revolución para la sanidad. Gracias a este tipo de dispositivos, los centros médicos pueden mejorar la atención a los pacientes, reducir sus costes y ser más eficaces.

Por ejemplo, los hospitales pueden contar ya con camas conectadas que son capaces de monitorizar el estado del paciente y su nivel de oxígeno, automatizar el suministro de medicamentos, ofrecer alertas médicas, etc.

¿Pero qué pasa si lo fiamos todo a la tecnología y esta falla o sufrimos un hackeo? Esto supondría un riesgo muy grave en el caso de la sanidad, ya que un incidente de este tipo podría hacer peligrar la vida de los pacientes.

Y lo peor es que se trata de un riesgo muy cierto, ya que asegurar los dispositivos IoT es complejo por la amplia gama de protocolos de comunicación que emplean y por las vulnerabilidades derivadas de sistemas operativos heredados, contraseñas débiles, dificultades de parcheo, accesibilidad física, configuraciones incorrectas del sistema operativo, falta de medidas de seguridad incorporadas y protocolos de comunicación no seguros, tal y como advierte Check Point.

Por ejemplo, la compañía de seguridad señala que muchos dispositivos IoMT aún continúan operando en la plataforma Windows 7, con la vulnerabilidad que esto supone una gran vulnerabilidad, ya que Microsoft dejó de ofrecer soporte para estos sistemas operativos y actualizar estos dispositivos supone un gran coste.

Y los equipos que se encuentran en tal situación no son pocos. Según las estimaciones de Check Point, alrededor del 70% de los dispositivos médicos no cuentan actualmente con soporte.

Por otro lado, sus expertos indican que otra de las grandes dificultades para garantizar la seguridad de estos aparatos en en ámbito de la sanidad está relacionada con el uso de la tecnología SCADA, sistema utilizado para supervisar y controlar dispositivos en tiempo real.

Check Point precisa que dicha tecnología se usa en los hospitales para gestionar la energía, controlar los accesos, atender las condiciones de los quirófanos o dirigir los sistemas de alarma contra incendios, entre otras aplicaciones. Pero estos sistemas emplean contraseñas predeterminadas o fáciles de adivinar, por lo que son objetivos fáciles para los atacantes.

De este modo, la compañía hace hincapié en la importancia de la certificación para asegurarse de que los dispositivos médicos de IoT cumplan con los estándares regulatorios necesarios y con los requisitos de la industria de la sanidad.

La certificación garantiza que los dispositivos están diseñados con precisión, han sido fabricados con controles de calidad apropiados y tienen un rendimiento confiable.

Este proceso de certificación implica una serie de evaluaciones. En primer lugar, los equipos deben ser precisos, exactos y confiables en sus mediciones.

Asimismo, han de ser seguros para quienes los manejan y para los pacientes, por lo deben pasar pruebas de seguridad eléctrica, de software y mecánica.

También deben contar con medidas para salvaguardar la privacidad de una información tan delicada como la que manejan, prevenir el acceso no autorizado y mantener su integridad.

Igualmente, tienen que cumplir con las regulaciones y estándares aplicables. Check Point reconoce que la certificación puede conllevar ciertas complicaciones, debido a que las actualizaciones pueden conllevar la necesidad de volver a certificarlo. Y es un procedimiento costoso, motivo por el cual muchos dispositivos IoT quedan desactualizados y sin parches.

Además, la interoperabilidad es clave en un entorno de atención médica conectada donde interviene diferentes elementos, por lo que los dispositivos deben ser compatibles entre sí y cumplir con ciertos protocolos de comunicación.