Investigadores descubren vulnerabilidades en el protocolo por el cual se comunican millones de dispositivos IoT en hospitales y centros de salud

Investigadores de Forescout y Medigate, dos firmas especializadas en ciberseguridad, han detectado hasta 13 vulnerabilidades en una serie de protocolos TCP/IP. Estos protocolos son usados para que se conecten los dispositivos IoT (internet de las cosas), pero la gravedad que reviste al asunto es que estas vulnerabilidades se han detectado en Nucleus.

Nucleus es una pila de protocolos TCP/IP que ahora es propiedad de Siemens, que se publicó en 1993 y que se utiliza todavía hoy en muchos entornos críticos. Tan críticos como centros hospitalarios y sanitarios.

El hallazgo de los investigadores en ciberseguridad desvela de esta forma que millones de dispositivos conectados en infraestructuras sanitarias críticas están ahora mismo en riesgo y son vulnerables a ciberataques que podrían suponer la interrupción de su servicio.

La investigación de los profesionales de Forescout y Medigate ha sido bautizada como Nucleus:13 y forma parte de un proyecto conocido como Memoria, con el que estos especialistas tratan de radiografiar cuáles son las vulnerabilidades más habituales y prevalentes en el mundo del internet de las cosas, un fenómeno en auge y ante el cual la Unión Europea pretende legislar.

6 clases de ciberamenazas a las que se enfrentan los dispositivos IoT que no estén bien protegidos en una industria, según la española Barbara IoT

Entre los ciberataques a los que son susceptibles los dispositivos conectados a estas redes sanitarias, ZDNet destaca la ejecución de código en remoto, la denegación de servicios e incluso el filtrado de datos sensibles.

Las vulnerabilidades descubiertas han sido catalogadas como excepcionalmente graves, con una nota de 10 sobre 10 en su criticidad en 3 de ellas y de 9,9 sobre 10 en otras dos. Buena parte de su gravedad se encuentra en que los protocolos de redes sanitarias son tan conocidos y tan habituales que no es difícil encontrar este tipo de dispositivos en la red.

Por ejemplo, Shodan es un buscador de dispositivos conectados muy utilizado por especialistas en ciberseguridad (tanto atacantes como defensores). Los propios investigadores que han reunido toda la información sobre estas vulnerabilidades reconocen que encontraron buena parte del material susceptible y vulnerable con una búsqueda superficial de la red.

En los documentos que han liberado en los que los técnicos detallan cómo podrían aprovecharse estas vulnerabilidades se reconoce que los ciberdelincuentes deberían acometer una serie de varios pasos para poder ejecutar sus planes. Pero como desgranan los investigadores, solo el mero hecho de que existan estas vulnerabilidades revela que existe el potencial de que se aprovechen.

Siemens, por su parte, ha liberado parches y actualizaciones para corregir muchas de estas vulnerabilidades. 

Diversas industrias y los propios hogares de los consumidores se están llenando de dispositivos conectados. Desde sensores de temperatura hasta neveras o cafeteras, hasta dispositivos o robots de limpieza o transporte, todo es maquinaria que depende de una conexión a la red y que por lo tanto, supone un significativo aumento de la superficie en la que los criminales pueden atacar.

El mayor oleoducto de EEUU paralizado o la red de aguas de una ciudad envenenada: por qué son tan críticos los ataques a industrias que usan dispositivos IoT, según un experto español

La vulnerabilidad de dispositivos IoT ya se ha hecho notar en las incursiones que ciberdelincuentes han protagonizado contra eléctricas en el pasado. Muchos ataques de ransomware(un tipo de código malicioso que cifra los archivos de un sistema informático para que después la banda responsable solicite un rescate a su víctima) comienzan así.

Por ello hay firmas en España como Barbara IoT que han desarrollado un sistema operativo con el que se trata de dotar de una nueva capa de seguridad a los dispositivos conectados y vulnerables. De la misma manera, la Unión Europea anunció, junto con una Ley de Chips, una nueva regulación llamada Ley de Ciberresiliencia Digital con el que se trata de garantizar más seguridad en el IoT.

El problema de la falta de estándares en los dispositivos IoT es tal, que en ocasiones los sistemas de seguridad de artículos tan dispares como unas bombillas inteligentes y conectadas a la red cuentan con sistemas de acceso mediante credenciales muy inseguras.

Aunque en este caso las vulnerabilidades detectadas van más allá de los propios artículos (y atañen en concreto a los protocolos mediante los que se comunican), es una demostración más de que ahora que internet llega a nuevos dispositivos, es más esencial que nunca garantizar su protección. En el caso de los protocolos de Nucleus, es la salud incluso lo que está en juego.