Redacción 4 febrero, 2019
Ciberseguridad en la Salud
Ciberseguridad en la Salud
Ciberseguridad en la Salud

En la Cumbre de Ciberseguridad de IBM en 2018, el jefe de X-Force Red Global, Charles Henderson, contó una historia memorable.

Un colega se acercó frenéticamente un viernes por la tarde para pedirle que probara la ciberseguridad de cinco dispositivos de Internet de las cosas (IoT).

Uno de los dispositivos iba a ser implantado en el cuerpo del colega, y quería asegurarse de elegir el modelo más seguro.

Charles llamó inmediatamente a sus amigos hackers, quienes aceptaron alegremente ayudarlo con la investigación.

En un par de días, Charles recomendó un modelo específico a su colega, confiado en que el modelo era el menos hackeable.

A diferencia del colega de Charles, la mayoría de los pacientes no tienen a alguien disponible para probar sus dispositivos IoT médicos antes de la implantación, por lo que es fundamental para los fabricantes de dispositivos incorporar la seguridad en los dispositivos desde las primeras etapas de desarrollo.

Los pacientes deben poder confiar en que los dispositivos en sus cuerpos no tienen vulnerabilidades críticas que los delincuentes puedan explotar.

Análisis de la guía de la FDA sobre dispositivos médicos de IoT

Del 29 al 30 de enero de 2019, la Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) organizó un taller público para analizar la seguridad médica de IoT.

La discusión se centró en la guía recientemente redactada titulada “Contenido de las presentaciones previas a la comercialización para la gestión de la ciberseguridad en dispositivos médicos“, cuyo objetivo es ayudar a fortalecer la ciberseguridad en todos los dispositivos médicos de IoT.

Catherine Norcom, hacker de hardware residente de X-Force Red, se especializa en la construcción y prueba de dispositivos IoT en el campo médico.

Catherine, también conocida como “Q”, recientemente se unió al equipo después de servir 10 años en la Fuerza Aérea de los EE. UU.

Accedimos a una conversación que Catherine dio sobre la guía de la FDA, los principales riesgos relacionados con los dispositivos médicos de IoT y sobre cómo minimizar esos riesgos.

Catherine. ¿Qué partes de la guía de la FDA crees que podrían ser más efectivas?

Me gusta el objetivo de la guía de orientación.

Los fabricantes de dispositivos IoT médicos deben priorizar la seguridad, especialmente considerando las posibles consecuencias perjudiciales de una infracción.

Específicamente, me gusta la cláusula sobre el cierre de sesión de las personas después de un período de inactividad.

También me gusta la cláusula que discute la necesidad de una rápida implementación de parches y actualizaciones.

Sin embargo, esa cláusula en realidad contradice otra cláusula en la guía que recomienda a los usuarios aprobar cualquier actualización del producto antes de que se instalen.

Dicho esto, en noviembre de 2018, la FDA proporcionó más detalles sobre este tema, diciendo que los parches críticos pueden y deben aplicarse sin la aprobación del usuario.

También creo que es una actualización importante

Después de todo, la seguridad del paciente no debe variar de un usuario a otro, simplemente en función de si tienen los recursos para procesar e implementar parches críticos de manera oportuna.

La FDA debe incluir esos detalles en la guía

También me gusta que la guía promueva el cifrado de la información almacenada en los dispositivos y requiere algún tipo de autenticación antes de que el usuario acceda a la información médica proveniente del dispositivo.

De esa manera, si un usuario dejó un dispositivo en un autobús, por ejemplo, alguien más no podría acceder a la información médica privada del usuario.

¿Dónde crees que podría mejorarse la orientación?

Hay algunas partes que parecían que podían variar en significado. Por ejemplo, la guía recomienda evaluar el riesgo y la mitigación a lo largo del ciclo de vida de un producto.

Sin embargo, los fabricantes y usuarios finales pueden tener diferentes interpretaciones de lo que constituye el ciclo de vida de un producto.

Obviamente, los fabricantes lanzarán nuevas versiones de productos, ya sea debido a sus propias innovaciones o debido a factores externos, como una actualización pendiente de un sistema operativo de terceros o un complemento que hace que el diseño del producto existente sea un desafío para mantener.

Cuando un fabricante lanza una nueva versión de un producto, no puede continuar admitiendo todas las versiones anteriores de ese producto de la misma manera que lo hacía antes.

Pero incluso después de que el fabricante necesite finalizar su soporte, el producto aún puede funcionar bien durante algún tiempo.

E incluso si no funciona tan bien como lo hizo una vez sin el soporte del fabricante, el usuario puede optar por continuar usándolo y revisándolo.

Si bien este es un tema difícil de abordar, podría ser valioso si la guía es capaz de explicar con más detalle cuáles son las expectativas para los fabricantes y usuarios en diferentes etapas de un ciclo de vida normal del producto.

Hay otros documentos de la FDA que incluyen más detalles sobre este asunto, pero también deben detallarse en esta guía.

La guía también utiliza palabras de moda como “holística”

Muchos fabricantes, y francamente, la gente en general, no saben qué significa ese término o podrían interpretarlo de manera diferente.

Además, una parte de la guía recomienda a los fabricantes identificar las vulnerabilidades por adelantado.

Esto es extremadamente matizado y complejo

Por ejemplo, incluso si un fabricante identificó una vulnerabilidad en la conexión Wi-Fi, es posible que no sepan que el puerto USB también es vulnerable.

En esto de todos modos, necesita evaluadores de penetración para evaluar el riesgo durante todo el proceso, ya sea contratando a especialistas externos o a alguien interno.

Los evaluadores de penetración, que son piratas informáticos, comprenden las diferentes formas en que los delincuentes pueden explotar vulnerabilidades individuales o encadenarlas para comprometer un dispositivo.

Como tales, los evaluadores pueden identificar cómo los delincuentes pueden explotar las vulnerabilidades, ya sea una o muchas cadenas, exponiendo un dispositivo y un ecosistema conectado.

Dado que X-Force Red se especializa en ciberseguridad, vamos a centrar la conversación y discutir los riesgos de seguridad que vienen con los dispositivos médicos de IoT.

Los dispositivos de IoT médico son un objetivo principal de los ciberdelincuentes, por lo que incluso si un fabricante cree que ha desarrollado un dispositivo con una seguridad razonable, los delincuentes pueden encontrar vulnerabilidades.

Estudio del Instituto Ponemon

Hace poco leí un estudio del Instituto Ponemon que decía que el 67 por ciento de los fabricantes de dispositivos médicos creen que un ataque a uno o más dispositivos médicos que hayan construido es probable.

Uno de los puntos de vulnerabilidad más obvios es si el usuario pierde el dispositivo o si el dispositivo es robado.

Si los delincuentes obtienen acceso físico al hardware, pueden acceder a todos los datos médicos de ese dispositivo.

También podrían aplicar ingeniería inversa al dispositivo y de esta manera obtener acceso a incluso más información almacenada en los servidores subyacentes.

Esa información podría ayudar a planificar un ataque mayor contra el fabricante del dispositivo o ayudar a los delincuentes a usar la identidad del paciente en el fraude de seguros u otros esquemas.

Sí, robar físicamente un dispositivo proporcionaría el camino más fácil para comprometerlo.

¿Qué pasa con los riesgos relacionados con la conexión Wi-Fi utilizada por la mayoría de los dispositivos de IoT?

Obviamente, cualquier cosa conectada a Wi-Fi puede verse comprometida. Un ataque de fuerza bruta es uno de los métodos de ataque más populares.

El identificador de conjunto de servicios (SSID) es el nombre de la red Wi-Fi que ve cuando intenta conectarse. Si un dispositivo emite su SSID, por ejemplo, un criminal vería el dispositivo en la red Wi-Fi y podría probar todas las contraseñas bajo el sol hasta que uno le otorgue acceso.

Estos ataques suelen ser automatizados por las computadoras y puede tomar solo unos segundos forzar una contraseña débil.

Además, si la conexión Wi-Fi del dispositivo no está protegida y los datos almacenados en el dispositivo no están cifrados, un delincuente podría interceptar los paquetes y acceder a los datos médicos a medida que pasan del dispositivo al router.

Esencialmente, un criminal puede agarrar los datos médicos almacenados del dispositivo mientras se mueve por el aire.

¿Qué pasa con los puertos USB? Muchos dispositivos médicos de IoT contienen puertos USB similares a los que usamos para cargar nuestros teléfonos celulares.

Sí, los puertos USB en dispositivos IoT médicos pueden usarse para transferir datos.

Si alguien se conecta al puerto USB del dispositivo y los datos almacenados no están encriptados, la persona podría acceder a los datos.

Es similar a su teléfono celular: si conecta un cable USB a su teléfono y lo conecta a una computadora portátil, puede ver los datos en su teléfono y transferirlos a su computadora portátil.

Como regla general, las personas deben evitar conectarse a cualquier puerto USB que no controlen.

Eso significa evitarlos en aeropuertos, aviones, lugares públicos, etc.

Detrás de cada puerto USB, puede haber un dispositivo leyendo datos sin permiso explícito.

Entonces, ¿qué pueden hacer los fabricantes de dispositivos médicos de IoT para fortalecer la seguridad de sus productos a medida que se desarrollan?

Primero, los desarrolladores deben asegurarse de que el SSID del dispositivo esté oculto para que no se muestre en las redes Wi-Fi.

Además, los fabricantes de IoT a menudo otorgan a todos sus dispositivos el mismo SSID.

Por ejemplo, los dispositivos destinados a la cocina tendrán el SSID “cocina”.

Si los dispositivos tienen el mismo SSID, un delincuente puede conectarse a ellos incluso si están ocultos.

Es crucial que los dispositivos tengan SSID únicos y, preferiblemente, permitan que sus propietarios los nombren para crear nombres aleatorios que los atacantes no podrán buscar fácilmente.

Las buenas prácticas de seguridad para un dispositivo habilitado para la interfaz de programación de aplicaciones (API) incluyen asegurarse de que un delincuente no tenga acceso a la clave API, que es como una contraseña, para que él o ella no puedan leer los datos médicos privados que dispositivo médico se está registrando.

Una recomendación fácil y obvia es utilizar el cifrado

Todos los datos del dispositivo y la conexión al punto de acceso inalámbrico o al teléfono celular deben estar cifrados.

El cifrado deshabilitará la capacidad de los delincuentes para leer datos privados, ya sea que roben paquetes o se conecten a un puerto USB.

Los fabricantes también pueden crear software propietario que solo habla con el dispositivo específico de IoT y le permite descifrar los datos de forma segura.

También es fundamental tener una conexión segura entre el dispositivo y el punto de acceso Wi-Fi que está utilizando.

El dispositivo no debe conectarse a nada que no requiera autenticación.

Finalmente, los fabricantes deben probar su hardware y software a medida que se desarrolla el dispositivo.

Las pruebas de penetración manual pueden descubrir vulnerabilidades desconocidas que las herramientas automatizadas pueden no encontrar.

Por ejemplo, los evaluadores pueden determinar si el software fue programado de una manera que hace que los archivos sean difíciles de leer.

 A medida que escriben y desarrollan el dispositivo y su software, los fabricantes deben consultar a un experto en seguridad en cada paso, desde la selección de productos hasta las pruebas durante el desarrollo y las pruebas una vez que se haya construido el dispositivo.

¿Alguna última palabra o recomendación para la FDA mientras trabaja para finalizar la guía?

Desafortunadamente, hackear un dispositivo IoT, médico y no médico, a menudo no es tan difícil.

En la conferencia de piratas informáticos DEF CON, las personas con poca experiencia estaban pirateando cafeteras de IoT y cabinas de votación en minutos.

Cuando permites un dispositivo IoT en tu red, si el dispositivo tiene una vulnerabilidad, un criminal puede comprometer fácilmente toda tu red.

Por eso es fundamental para todos los fabricantes de IoT priorizar la seguridad al desarrollar sus productos.

Esta guía es un paso en la dirección correcta para lograr ese objetivo

Ofrece recomendaciones realmente sólidas y se centra en el tema de la seguridad de IoT.

La FDA está invitando a comentarios de fabricantes de dispositivos médicos y componentes, investigadores independientes y firmas de seguridad, que serán extremadamente beneficiosos en la configuración del borrador final.

Siempre es alentador ver la perspectiva del mundo de la seguridad en el desarrollo de este tipo de orientación.

 

 

Por Abby Ross Advisory Lead, X-Force Red

A %d blogueros les gusta esto: