Código malicioso, potencialmente mortal, en marcapasos cardiacos: una espantosa posibilidad Unocero

Código malicioso, potencialmente mortal, en marcapasos cardiacos: una espantosa posibilidad. Noticias en tiempo real 13 de Agosto, 2018 08:09


Califica esta nota


Los marcapasos de la empresa Medtronic -se sabe- no tienen ningún esquema de encripción para asegurarse que las actualizaciones de su firmware sean verificadas y esto podría, potencialmente, hacer que los hackers instalaran remotamente software malicioso que pudiese amenazar la vida de los pacientes, indicaron investigadores de la seguridad informática.
En la conferencia “Black Hat”, de seguridad informática, que se lleva a cabo en Las Vegas, Nevada, los investigadores Billy Ríos y Jonathan Butts, dijeron que ya habían advertido a Medtronic sobre ciertas vulnerabilidades en el 2017. De hecho, para probar sus asertos, demostraron ahora un hackeo que compromete el programador CareLink 2009, un dispositivo que usan los doctores para controlar los marcapasos que implantan en sus pacientes.
Cómo hemos pasado de las “fake news” a la manipulación
El problema es que el programador no manda conexiones cifradas por HTTPs y además, el firmware no está firmado digitalmente, los investigadores fueron capaces de ejecutar un programa malicioso en el firmware que sería muy difícil detectar por los médicos. A partir de esto, los investigadores dijeron que el marcapasos comprometido podría enviar señales equivocadas al corazón, lo que podría poner en riesgo la vida de los pacientes.
“La respuesta del fabricante es muy pobre”, dijo Ríos. “No estamos hablando de un videojuego en línea donde se pueden modificar las puntuaciones más altas de forma ilegal”. En un correo por parte de Medtronic, el representante indicó que existen controles para mitigar el problema planteado, Ríos y Butts no están de acuerdo y dicen que su hackeo se mantiene viable.

Un hackeo en particular explota las vulnerabilidades de los sistemas servidores de software que Medtronic usa en su red interna. Examinando la manera en el que el programador se comunica con sus dispositivos, Ríos y Butts fueron capaces de entender cómo un hacker podría unirse a una red privada virtual y modificar maliciosamente el proceso de actualización. Debido a que el hackeo compromete los servidores usados en la producción y que son propiedad de Medtronic, los investigadores jamás intentaron meterse a estos sistemas por los consecuentes problemas legales. El jueves pasado en su demostración, comprometieron un programador que compraron en eBay por lo que no hubo ningún paciente real que estuviese en riesgo.
Ríos, quien trabaja en la firma de seguridad WhiteScope, y Butts, de QED Secure Solutions, demostraron un hackeo separado ese mismo jueves, contra una bomba de insulina de Medtronic. Usando un hackeo de RF (radio frecuencia) de 200 dólares, mandaron instrucciones a la bomba para mandar dosis de insulina a placer cuando ellos quisieran.
Medtronic indicó que el hackeo a su bomba de insulina trabaja solamente en las bombas antiguas y solamente cuando se cambia la configuración inicial a la posibilidad de poder tener funciones remotas. El representante dijo que el hackeo contra los marcapasos ya ha sido tomado en cuenta y Medtronic ha trabajado en el siguiente comunicado:
“El año pasado la firma de seguridad WhiteScope notificó a Medtronic las vulnerabilidades potenciales del programador CareLink 2090, así como de su red que contiene el software para enviar las actualizaciones de software. Hemos medido el potencial de las vulnerabilidades y tuvimos ya un consejo de ICS-CERT a partir de febrero, en donde fue revisado el cambio para protegernos del problema, aprobado por la FDA, ICS-CERT y WhiteScope, inclusive.

En el boletín de seguridad de Medtronic, comunicamos que nuestros controles de seguridad mitigan la dificultad. Desde entonces, hemos hecho actualizaciones técnicas en donde estos servicios hospedados tiene controles de seguridad más fuertes.
Medtronic recomienda a sus clientes que sigan las guías de seguridad del manual de referencia del programador Medtronic 2090 CareLink. Esta guía incluye el mantenimiento físico de los controles del sistema y teniendo un entorno físico seguro, se previene el acceso al programador (de forma ilegal). Además, el programador 2090 debería conectarse a una red segura de cómputo. Si esto no es posible, el programador debería desconectarse de la red, sin que haya impacto en este sistema por ello, y las actualizaciones tendrían entonces que hacerse directamente con un representante de Medtronic.
Medtronic está comprometido con la transparencia y la colaboración de sus socios de negocios y de la comunidad regulatoria. Soportamos la guía que nos dé la FDA en este sentido”.
Ríos y Butts sin embargo, continúan criticando a Medtronic por la cantidad de tiempo que ha pasado desde que les avisaron de las vulnerabilidades y concluyen: “En este momento, como investigadores de seguridad, creemos que los beneficios de estos implantes médicos sobrepasan sus riesgos. Sin embargo, cuando los fabricantes actúan como Medtronic, es difícil confiar en ellos”.
La entrada Código malicioso, potencialmente mortal, en marcapasos cardiacos: una espantosa posibilidad se publicó primero en unocero.



En Tiempo Real

México se promociona en Feria de Turismo de Madrid

Desayunos para bajar de peso sanamente

Destitución no será procedente: fiscal Jorge Winckler

EN VIVO: Naomi Osaka y Karolina Pliskova, Open de Australia

Aprueba Ayuntamiento capitalino integración del Consejo Municipal de Protección Civil

Alistan ?agresivo? programa de reparación de luminarias, en Coatzacoalcos

Si algún ayuntamiento desaparece su unidad de PC, caería en delito de omisión

Ayuntamientos deben auxiliar a cuerpos de Bomberos a obtener equipo: PC

Entrevista con Eduardo Cadena Cerón, titular de la SEDARPA

Janine Otálora renuncia a la presidencia del Tribunal Electoral

Alarma acelerado derretimiento en Groenlandia

Revolución Social detiene a presunto ladrón de camionetas en Morelia

Silvano cede: Siempre sí pedirá anticipo a Federación para pagar a CNTE

Aeropuerto de Querétaro sería sede alterna del AICM en vuelos de carga

Papa Francisco llega a Panamá para Jornada Mundial de la Juventud

Don Omar en medio de la polémica por mensaje… ¿homofóbico?

Se suspende audiencia de exfiscal de Veracruz por segunda vez

Chris Brown recupera su libertad tras denuncia de violación

Llegan a Corregidora 180 militares para reforzar seguridad en ductos

#LluviaDeApps ? 19 juegos y apps de paga para Android que son gratis por tiempo limitado

VIDEO: Se enfrentan policías y comerciantes en Metro Mixcoac

Ratifica CEN todo su apoyo al PRI de Tamaulipas

Congelan reforma de Guardia Nacional hasta febrero

PAN exige conclusiones por accidente de Alonso y Moreno Valle

Busca AMLO que menores de edad ingresen al sistema bancario

¿Paulo Dybala y Eden Hazard al Real Madrid? Se cocina doble fichaje

Estos son los países que SÍ reconocen a Maduro como presidente de Venezuela

Niña abusada a la que le negaron aborto, da a luz y su bebé muere

Patricia Reyes le tiene envidia a su paisana Yalitza Aparicio, “no le ve futuro” afirma

Negociaciones con China transcurren "muy bien": Trump

Inicia INE actividades del proceso electoral, tras recibir recursos

Inauguran oficinas de Canadevi en La Laguna

Justicia debe actuar tras autoproclamación de Guaidó: Maduro

Con Guaidó se frena la salida de Venezuela de OEA: Luis Almagro

Portugal y España se salvan de negativa jornada bursátil en Europa

López Obrador asegura que utilizará camioneta del Estado Mayor Presidencial para sus giras al interior del país

México debe dejar de agachar la cara y reconocer el nuevo gobierno de Venezuela: Fox

Monreal pide a la oposición cerrar filas para aprobar Guardia Nacional

Papa Francisco llega a Panamá

Chris Brown niega cualquier “relación sexual” con la mujer que lo acusa de violación

Proyectarán Roma en Instituto Bellas Artes de Lerdo

Detienen a presunto responsable de asesinato en la Cañada

Niega el ‘Licenciado’ que él o su hijo ordenaran el asesinato de Javier Valdez

Liberan a Dafne, mujer acusada de homicidio por un aborto accidental en Querétaro

Atrapan asaltantes de cuentahabiente en Silao

La información agregada y la responsabilidad de esta, pertenece a los sitios que lo publican. Lado.mx solo se encarga de publicarla.