Las ciberamenazas ahora llegan hasta nuestros corazones, con desfibriladores implantables que se conectan a protocolos no seguros

• Varios desfibriladores implantables de la norteamericana Medtronic sufren importantes vulnerabilidades que permitirían a atacantes sin apenas habilidades técnicas interferir con estos elementos.
• Estos elementos tan críticos para la vida de miles de personas usan un sistema de telemetría que, a su vez, emplea protocolos no seguros para comunicarse con otros dispositivos.
• Medtronic ha anunciado una actualización de seguridad para estos dispositivos a lo largo de este año.

Muchas personas usan en estos momentos dispositivos implantables para controlar o regular su actividad cardíaca. Hablamos de marcapasos o desfibriladores que permiten, por ejemplo, tratar un evento que amenace nuestra vida al reestablecer el estado eléctrico del corazón y hacer que vuelva a latir normalmente.

Se trata de equipos de alta tecnología cuya utilidad está fuera de toda duda. Sin embargo, la seguridad que proporciona al músculo más importante de nuestro cuerpo no siempre resulta la mejor, y la clave está en la conectividad de estos dispositivos.

Esta semana hemos conocido que varios desfibriladores implantables de la norteamericana Medtronic sufren importantes vulnerabilidades que permitirían a atacantes sin apenas habilidades técnicas interferir con estos elementos. Fallos que, además, resultan de lo más absurdo si nos atenemos a la causa de los mismos: estos desfibriladores usan protocolos no seguros para comunicarse con otros dispositivos.

El problema afecta a alrededor de 20 modelos de ICD (desfibrilador cardioversor implantable) y CRT-D (terapia de resincronización cardiaca implantable / dispositivo de desfibrilador implantable) que utilizan el sistema de telemetría Conexus, según ha confirmado Medtronic a Fox News. El problema no afecta a los marcapasos, a los monitores cardíacos insertables ni a otros dispositivos de esta marca.

Leer más: La amenaza silenciosa que se esconde tras los dispositivos del Internet de las Cosas

Como decíamos, este protocolo de telemetría Conexus (un proceso de comunicaciones automatizado para recopilar datos) utilizado por los dispositivos de Medtronic no cuenta con los mínimos requisitos de autenticación, tal y como ha denunciado e acuerdo con el Departamento de Seguridad Nacional de EEUU. "Un atacante con acceso de corto alcance al dispositivo, en situaciones donde la radio del producto está encendida, puede inyectar, reproducir, modificar o interceptar datos dentro de la comunicación de telemetría", dice el aviso oficial.

Habrá que esperar para asegurar de verdad estos dispositivos: Medtronic ya ha anunciado que está desarrollando actualizaciones de software para mejorar la seguridad de la comunicación inalámbrica de sus desfibriladores implantables. La primera actualización está programada para este mismo 2019, sujeta a las pertinentes aprobaciones regulatorias.

Mientras tanto, Medtronic y los reguladores norteamericanos recomiendan que los pacientes y los médicos continúen usando los dispositivos según lo prescrito y previsto, "ya que proporcionan la manera más eficiente de controlar los dispositivos de los pacientes y las afecciones cardíacas", explica la compañía.