Alerta por un fallo en marcapasos que permite manipularlos (y pararlos) a distancia

Determinados modelos de marcapasos son actualmente susceptibles de ser 'hackeados', según una alerta emitida esta semana por la FDA, la agencia estadounidense de los alimentos y los medicamentos. Una vez dentro, un atacante podría dejarlos sin batería o programar un funcionamiento incorrecto de los aparatos, comprometiendo gravemente la salud de los pacientes que los utilizan, aunque la agencia ha anunciado que no hay noticia de que la salud de nadie se haya visto afectada por estas vulnerabilidades hasta la fecha.

Se trata de un tema del que los expertos en ciberseguridad llevan años advirtiendo, pero en esta ocasión la FDA ha hecho concreta la amenaza al señalar unos dispositivos determinados. Los equipos sobre los que ha advertido la FDA, fabricados por la compañía St. Jude Medical, no son los marcapasos en sí, sino los transmisores Merlin@home Transmitters, que se conectan vía radiofrecuencia con los marcapasos implantados para recoger sus datos y transmitirles instrucciones.

Los dispositivos cardíacos implementables fabricados por St. Jude Medical (marcapasos, desfibriladores y dispositivos de resincronización) aportan estabilidad al funcionamiento del corazón de aquellos pacientes afectados por bradicardias (ritmo cardíaco lento), taquicardias (ritmo rápido) o latidos descoordinados. Se implantan bajo la piel y sus cables se conectan al corazón para ayudarle a funcionar correctamente. Como complemento, un aparato llamado Merlin@home Transmitter utiliza un monitor para transmitir y recibir vía radiofrecuencia la información almacenada en el marcapasos.

Este transmisor se encuentra en la propia casa del paciente, y envía los datos a su médico vía internet, ya sea por cable o utilizando la red wifi. Así, el médico puede hacer un seguimiento continuo de la evolución de su paciente, reduciendo la necesidad de acudir a la consulta. El problema, advierte la FDA, es que el sistema informático de estos transmisores contiene varias vulnerabilidades que permitirían a un usuario no autorizado (alguien que no sería el médico del paciente y que en principio no estaría velando por su salud) acceder al marcapasos vía radiofrecuencia y modificar sus instrucciones para gastar su batería o administrar impulsos para propiciar un ritmo inapropiado (y por tanto, peligroso).

Estos transmisores contienen vulnerabilidades que permitirían acceder al marcapasos vía radiofrecuencia y modificar sus instrucciones

En la misma alerta, la FDA asegura que no se han registrado casos de pacientes que hayan sufrido daños por este problema, y que la compañía ha desarrollado un parche, cuya eficacia ha sido revisada por la propia FDA, para reducir el riesgo de las vulnerabilidades detectadas. "La FDA ha llevado a cabo una evaluación de los beneficios y los riesgos de utilizar el Merlin@home Transmitter y ha determinado que los beneficios para la salud de los pacientes a partir del uso continuado de los dispositivos sobrepasan los riesgos de ciberseguridad".

"Es para tener pesadillas"

Sin embargo, no todo el mundo se ha quedado completamente tranquilo. Matthew Green, profesor de Criptografía de la Universidad Johns Hopkins, en Baltimore, ha explicado en Twitter cuáles podrían ser las consecuencias de este fallo de seguridad.

"El resumen del problema es que las instrucciones críticas (impulsos, actualizaciones de 'software', etc.) solo deberían provenir de personal hospitalario. Desafortunadamente, SJM no ha utilizado una autentificación fuerte, y como resultado, cualquier dispositivo que conozca el protocolo puede enviar esas instrucciones. Y aún peor: puede enviar estas instrucciones (potencialmente peligrosas) vía radiofrecuencia a distancia, sin dejar rastro", asegura.

Su explicación continúa: "Ahora llegamos a la parte que da miedo, y subrayo que es estrictamente hipotética. Hay miles de estos equipos en casas de pacientes. Como ya he dicho, si fuesen atacados, podrían enviar comandos peligrosos. Comprometerlos de uno en uno llevaría mucho tiempo y es improbable, pero ¿y si pudieses introducir un código dañino en todos ellos a la vez? Esta posibilidad es para tener pesadillas. Debería mantener despiertos al personal de SJM y la FDA hasta que puedan descartarlo".

St. Jude Medical distribuye sus productos en España, pero no ha confirmado si el dispositivo Merlin@home se comercializa en nuestro país

St. Jude Medical distribuye sus productos en España, pero no ha confirmado a Teknautas si el dispositivo Merlin@home se comercializa en nuestro país ni en qué cifras. En un comunicado, ha asegurado colaborar con la FDA "en actualizaciones y mejora de la seguridad de nuestros dispositivos médicos".

Hemos realizado la misma consulta a la Agencia Española de Medicamentos y Productos Sanitarios, pero en el momento de la redacción de este artículo todavía no habíamos recibido respuesta.