dispositivos médicos electrónicosorganizaciones sanitarias ehealth cirujanos telemedicina

En los últimos meses, España ha acabado siendo uno de los centros de atención a nivel mundial por ser la segunda nación occidental afectada por la epidemia de COVID-19. En términos de cibercrimen, España también ocupa posiciones destacadas en el ranking mundial de ataques que se aprovechan de la pandemia, tanto para correos electrónicos de phishing como para ataques dirigidos a instalaciones sanitarias.

Los hospitales y otras instalaciones de salud trabajan siempre bajo presión para atender a sus pacientes, situación que ha llegado a límites insospechados durante la emergencia sanitaria. Sin embargo, además de esto, lamentablemente también tienen que hacer frente a numerosos ataques contra sus sistemas informáticos, ataques que en muchos casos han aprovechado la situación actual para apoderarse de los sistemas a través del ransomware y que incluso pueden llegar a cerrar redes y equipos médicos electrónicos. En el sector de la seguridad estamos constantemente monitorizando estos ataques para proveer la mayor cantidad de información posible y reaccionar a estos ataques de la manera más apropiada.

Por desgracia, tanto en la sanidad como en la industria, a menudo nos enfrentamos a situaciones algo controvertidas. La mayoría de las veces, estos ataques no comprometen a los ordenadores o servidores tradicionales, sino a toda una serie de dispositivos especializados que son esencialmente computadoras en un «paquete» diferente. Es este «paquete» (compuesto por ejemplo, por máquinas de tomografía computarizada, escáneres de ultrasonido, cardiógrafos, etc.) lo que hace que tengan certificaciones que a menudo prohíben la instalación de cualquier tipo de software de seguridad.

Especialmente en el caso de los dispositivos médicos electrónicos, la certificación impide la instalación de parches para sistemas operativos obsoletos

Debido a la certificación del dispositivo y a las garantías en cuanto a su rendimiento, no es posible instalar ningún tipo de protección de seguridad. Pero, ¿los organismos de certificación, o los propios fabricantes del dispositivo, certifican que el rendimiento es válido incluso en caso de malware dentro del dispositivo? Esta es una cuestión que deben considerar las administraciones sanitarias y los fabricantes de dispositivos.

A veces, y especialmente en el caso de los dispositivos médicos electrónicos, la certificación impide la instalación de parches para sistemas operativos obsoletos. No es posible controlar el flujo de datos sin el riesgo de que la producción deje de estar certificada. ¿Pero sobre qué base se preparan estas certificaciones? ¿Se han tenido en cuenta las situaciones en las que los dispositivos pueden garantizar su rendimiento incluso en presencia de malware dentro del dispositivo o en la red a la que están conectados?

Es necesario revisar la certificación de los equipos industriales en general, y del los dispositivos médicos electrónicos en particular, y debe convertirse en un aspecto crucial desde el comienzo del proceso de adquisición.

Como ya se ha mencionado, al supervisar el tráfico de Internet en las últimas semanas, hemos observado una serie de ataques a hospitales y centros sanitarios, y la mayoría de ellos han puesto en peligro específicamente a los dispositivos médicos electrónicos (por ejemplo, escáneres CT, escáneres de ultrasonido, cardiógrafos, etc.) que, debido a su certificación, no pudieron actualizarse ni instalar un software de seguridad.

Los hospitales deben exigir a sus proveedores que certifiquen sus dispositivos o validen las garantías incluso en caso de malware, una garantía que también cubre el resto de la red, porque si el malware entrara en uno de estos dispositivos, sería como si un Troyano se infiltrara en toda la infraestructura, con lo que aumentaría exponencialmente el riesgo de un cierre total. Si bien es cierto que podemos limitar el daño protegiendo la infraestructura, también es cierto que los controles específicos dentro de los dispositivos actuales reducirían aún más ese riesgo.

José Battat, director general de Trend Micro Iberia