Jerome Radcliffe, un investigador de seguridad y diabético de tipo 1, demostró que existe una vulnerabilidad potencialmente letal en los dispositivos inalámbricos internos al hackear su propia bomba de insulina y medidor de glucosa, mostrando frente a un público en vivo que un hacker malicioso podría utilizar las brechas de seguridad en los dispositivos para ponerle fin a la vida de alguien.

Radcliff dio una sesión en la conferencia de Seguridad Técnica Black Hat 2011 realizada en Las Vegas que tuvo gran impacto, aumentando las preocupaciones del lado aterrador de la ciberseguridad.

Sin embargo, esto no fue una sorpresa para algunos investigadores de seguridad. Más bien, llamó la atención sobre un problema que han advertido durante años. Una de estas organizaciones es la Compañía de Innovación, Seguridad y Protección de Dispositivos Médicos (MDISS, por sus siglas en inglés), que fue fundada para ayudar a proteger al creciente número de dispositivos médicos, vinculados a las redes informáticas a las cuales los malware y los hackers causan daños.

La compañía no pudo ser contactada para hacer comentarios, pero un documento de la organización señala que el problema va mucho más allá de una simple falta de supervisión. Las vulnerabilidades se deben a problemas encontrados en todos los ámbitos.

“Falta una amplia capacidad en la seguridad, la informática, la ingeniería biomédica y en los profesionales médicos para la protección de los dispositivos médicos, hay un bajo estándar en la calidad de la protección de la red de dispositivos médicos y los sistemas asociados, y hay deficiencias en la colaboración entre todos los actores involucrados, incluyendo a las compañías de tecnología, fabricantes y proveedores de dispositivos”, señala el documento.

La comisión agrega que “las normas actuales no tienen suficientemente en cuenta” a las vulnerabilidades.

Radcliffe dio una explicación muy clara de cómo funciona, ya que el tema suena un poco sensacionalista: hackers que pueden violar su bomba de insulina y causar la muerte.

El problema de estos dispositivos es el mismo al que se enfrentan los sistemas industriales, la “infraestructura crítica” que tanto se aplica en algunos países, como la red de energía: en que todos los dispositivos utilizan el sistema de Control Supervisorio y Adquisición de Datos (SCADA, por sus siglas en inglés).

En el pasado, los sistemas SCADA han sido blancos de los hackers que pudieron controlar, aumentar la velocidad y destruir físicamente los sistemas a los que estaban conectados. Por ejemplo el “gusano Stuxnet” que fue dirigido a los sistemas SCADA en las plantas nucleares de Irán y pudo destruir físicamente las centrifugadoras. Lo mismo se observó durante la Operación Aurora 2007, cuando los investigadores destruyeron físicamente un generador de 27 toneladas con un ciberataque.

Radcliffe declaró que los dispositivos de salud que él usa, se han convertido en un “sistema SCADA humano”, en el esquema de su discurso, publicado en el sitio web de la conferencia Black Hat.

Comenzó a investigar las vulnerabilidades por curiosidad, para saber si un hacker podría alterar el diseño del sistema, tomar el control de una bomba de insulina, e inyectar a una víctima con una dosis letal.

También hay preocupaciones acerca de los dispositivos inalámbricos de salud fuera de las vulnerabilidades que amenazan la vida, como la privacidad de información sobre la salud de una persona.

David Kotz, decano asociado de la facultad de ciencias en la Universidad Dartmouth, está trabajando con un equipo para desarrollar una mejor seguridad en los dispositivos inalámbricos de salud para mantener los datos seguros y sin alteraciones.

“Se ven cada vez más personas que llevan smartphones, y estoy viendo cada vez más productos y aplicaciones, ya sea aplicaciones de software o dispositivos de hardware, que puedes usar o llevar contigo, y que miden y vigilan algo acerca de su salud”, dijo Kotz en una entrevista telefónica.

Cuando estos dispositivos envían y reciben datos sobre la salud del usuario, éstos se envían de forma inalámbrica y podrían ser interceptados. Posiblemente alguien podría incluso tomar esta información, modificarla y luego ponerla de nuevo en la corriente. “Usted podría liberar la información de salud a los hackers o a los transeúntes, o a cualquiera”, dijo.

Algunas de las situaciones son un poco más prácticas, por ejemplo sería si una mujer trae un monitor de fertilidad con la esperanza de quedar embarazada, y estuviera preocupada de que su posible empleador se enterara, por cual no podría obtener el trabajo…“lo cual es ilegal, pero sucede”, dijo Kotz.

Los empleadores podrían configurar un dispositivo para detectar este tipo de herramientas. Incluso si ellos no pudieran ver la información exacta, solo con el hecho de saber que está ahí es todo lo que necesitarían.

“Estamos tratando de desarrollar protección contra este tipo de riesgos”, dijo Kotz.