Crédito:CC0 Public Domain
Las agencias federales advirtieron a los pacientes y fabricantes el martes que un problema descubierto recientemente con las comunicaciones de Bluetooth Low Energy podría permitir a los piratas informáticos desactivar o acceder a los marcapasos de forma remota. monitores de glucosa, dispositivos de ultrasonido y otros sistemas médicos.
La FDA y el Departamento de Seguridad Nacional dijeron que si bien no ha habido informes de pacientes afectados por el problema, el software necesario para ejecutar un ataque de este tipo está disponible en línea.
Medtronic confirmó el martes que algunos de sus productos se ven afectados, pero dijo que el impacto se limita a una "interrupción temporal de la función de comunicación" y no afectaría la terapia.
La alerta de la FDA describió el potencial de problemas mucho peores en otros dispositivos. "Estas vulnerabilidades de ciberseguridad pueden permitir que un usuario no autorizado bloquee el dispositivo de forma inalámbrica, dejar de funcionar, o acceder a las funciones del dispositivo que normalmente solo están disponibles para el usuario autorizado, ", dijo la alerta de la FDA.
La alerta del martes fue provocada por la publicación de un artículo académico, "Desatando el caos a través de Bluetooth Low Energy, "que describió al menos 12 vulnerabilidades de seguridad diferentes en dispositivos que usan una versión de bajo consumo de energía de los sistemas de comunicación Bluetooth. La mayoría de las vulnerabilidades simplemente bloquearían los sistemas, pero algunos permitirían que un pirata informático malintencionado dentro del alcance de las comunicaciones por radio inserte comandos que cambien el funcionamiento de los dispositivos.
Colectivamente conocido como "SweynTooth, "las fallas afectan a chips de computadora de siete fabricantes diferentes que se utilizan en los dispositivos, incluidos los productos médicos. También se ven afectados ciertos dispositivos portátiles deportivos, sistemas y cerraduras de seguridad para el hogar "inteligentes", ratones inalámbricos de la computadora, y otros.
"Los dispositivos más críticos que podrían verse gravemente afectados por SweynTooth son los productos médicos, ", dijo el documento de tres autores de la Universidad de Tecnología y Diseño de Singapur." Si bien nuestro equipo no verificó hasta qué punto SweynTooth afecta a estos dispositivos ... se recomienda encarecidamente que estas empresas actualicen su firmware. Esto es para evitar cualquier situación que pueda representar un riesgo para la vida de los pacientes que utilizan los respectivos productos médicos ".
Las vulnerabilidades de SweynTooth permiten que una parte no autorizada acceda de forma remota a las comunicaciones inalámbricas entre dispositivos médicos que están "emparejados" a través de una conexión Bluetooth Low Energy (BLE).
Bluetooth es un sistema de comunicación común utilizado por dispositivos inalámbricos que se comunican entre sí. Bluetooth Low Energy es una versión de ese sistema que requiere menos energía, lo que lo hace atractivo para los dispositivos que funcionan con una batería limitada, como dispositivos médicos.
Daniel Beard, director gerente de la firma de investigación de ciberseguridad de tecnología médica con sede en California MedISAO, dijo que cada fabricante de dispositivos afectados tendrá que ejecutar su propia evaluación de seguridad porque el alcance del impacto depende de cómo se ensambla el dispositivo.
Si el mismo chip de computadora dentro de un dispositivo está ejecutando funciones de comunicaciones y terapia médica, entonces un truco de SweynTooth podría afectar su funcionalidad médica, Dijo Beard. Si las comunicaciones y la terapia están en chips separados, el efecto se limitaría a interrumpir la forma en que el dispositivo se comunica de forma inalámbrica con otros dispositivos.
Marcapasos Los monitores de diabetes y las máquinas de ultrasonido, categorías que se mencionan específicamente en la alerta de la FDA, se usan ampliamente en el cuidado de la salud. Varias empresas de dispositivos dijeron el martes que estaban trabajando para obtener más información.
"La FDA recomienda que los fabricantes de dispositivos médicos se mantengan alerta ante las vulnerabilidades de seguridad cibernética y las aborden de manera proactiva participando en la divulgación coordinada de vulnerabilidades y proporcionando estrategias de mitigación, "Dra. Suzanne Schwartz, un subdirector en el Centro de Dispositivos y Salud Radiológica de la FDA, dijo en el anuncio.
Una portavoz de Medtronic confirmó el martes que varias familias de productos están afectadas.
"Hasta la fecha, Nuestro análisis ha confirmado que estos componentes de hardware (vulnerables) están presentes en algunos productos de Medtronic en nuestras líneas de productos Cardiac &Vascular y Diabetes. Sin embargo, nuestra evaluación indica que el impacto se limita a la interrupción temporal de la función de comunicación y no afecta la terapia, ", dijo la portavoz Erika Winkels por correo electrónico.
Los dispositivos cardíacos de Medtronic afectados por la vulnerabilidad son:la cartera de marcapasos Azure; la Percepta, Serena y la familia Solera de marcapasos para terapia de resincronización cardíaca (CRT-Ps); y los desfibriladores de terapia de resincronización cardíaca de cobalto y cromo (TRC-D).
Los productos para la diabetes afectados por la vulnerabilidad son:el transmisor del sensor de glucosa Guardian Connect, que es parte del sistema de monitoreo de glucosa independiente Guardian Connect; el registrador de glucosa Envision Pro, que forma parte del sistema de monitorización de glucosa profesional Envision Pro; y el cargador de MiniMed Connect ", "que es un accesorio de pantalla secundaria para las bombas de insulina aumentadas por sensor MiniMed 530G y MiniMed Paradigm.
Ni las bombas de insulina ni sus transmisores de monitorización continua de glucosa (CGM) que se comunican con las bombas fabricadas por Medtronic contienen los componentes de hardware afectados, dijo la empresa.
© 2020 Star Tribune (Minneapolis)
Distribuido por Tribune Content Agency, LLC.