Sí, el mundo cada vez es más conectado y cada día hay nuevas y nuevas amenazas.. y en el futuro lo será más todavía... Están saliendo a la luz muchos casos de hackeos, por ejemplo los servidores de Ashley Madison o Yahoo, pero me llama mucho que se intenten hackear dispositivos personales ,como en este caso una bomba de insulina que está programada remotamente para que ajuste las dosis de ese medicamento.
Cuando una persona ajena "al mundo hacker" (vamos que no tiene ni idea y se piensan que los hackers son personas de Matrix) lee la noticia lo primero que se le pasa por la cabeza es "¡Qué HDP!¡Hasta dónde vamos a llegar!¡Vaya futuro que nos espera!¡Ojalá les pillen..!" etc. etc. incluso cuestionando la ética/moral...
Bueno, cada uno es libre de dar su opinión... sin embargo yo pienso hay que mirar los hechos con un poco más de perspectiva: ¿Por qué ese producto tenía esos fallos de seguridad? Porque según la noticia hay 2 opciones: pasar a modo manual (sin conectividad) o pasar por fábrica y actualizar cada uno de forma individual (mucho dinero.. ¿y si aparece otro fallo?)
Centrémonos en el origen de los fallos. Los humanos no somos perfectos y los productos que creamos tampoco. Es comprensible que contengan fallos... pero para eso hay pruebas de calidad, de seguridad, equipos especializados en hackeo o auditorias de seguridad... Y personalmente me da que alguien no ha hecho bien su trabajo, sobre todo si tenemos en cuenta de que es un dispositivo médico donde la seguridad tiene que ser algo primordial por diseño.
Y ahora yo me pregunto de quién es la culpa: ¿Del hacker avispado que ha encontrado y publicado (al menos avisado) el fallo? ¿O del fabricante que no ha sido capaz de estar a la altura -obviamente no dedicando los recursos suficientes-?
Desgraciadamente en el futuro veremos muchos más casos... por eso creo que se debería premiar/incentivar el hackeo ético y no promover el castigo como forma disuasoria...
El hackeo no tiene límites y el nuevo blanco son las bombas de insulina
Vivimos en un mundo conectado, eso significa que mucha de la información que usamos día con día viaja de un lugar a otro de forma constante, por lo que se necesita el mínimo de seguridad para que dicha información no caiga en las manos de alguien que pueda hacer un mal uso de todos esos datos. Lamentablemente algunas compañías pasan por alto estos elementos de seguridad al creer que sus dispositivos no son los suficientemente atractivos para ser hackeados.
Hoy la compañía Johnson & Johnson está emitiendo una alerta de seguridad a todos los usuarios de la bomba de insulina Animas OneTouch Ping, la cual se ha descubierto que posee una vulnerabilidad que podría hacer que las dosis de insulina se modificaran vía remota y sin que el usuario se entere.
La bomba Animas OneTouch Ping salió al mercado en 2008, entre sus ventajas está el uso de un mando inalámbrico que le permite al usuario ajustar las dosis de insulina sin necesidad de tener que acceder al dispositivo, el cual casi siempre está debajo de la ropa. Al día de hoy se estima que más de 114.000 usuarios usan diariamente esta bomba tan sólo en los Estados Unidos y Canadá.
Jay Radcliffe, investigador de la firma de seguridad informática Rapid7 y diabético, descubrió en abril de este año que las comunicaciones entre la bomba y el mando no contaban con ningún tipo de cifrado, lo que podría hacer que cualquier hacker con los conocimientos suficientes pueda tener acceso a esa información y modificar la dosis de forma remota, lo que podría poner en riesgo la vida del paciente.
Radcliffe informó de inmediato a J&J de la vulnerabilidad de su dispositivo, y desde entonces han estado trabajando para resolverlo. La compañía asegura que los riesgos de sufrir un ataque son mínimos, ya que se requieren amplios conocimientos técnicos, equipo sofisticado y estar a menos de 8 metros de la bomba para interceptar las comunicaciones, ya que la bomba no se conecta a internet. Sin embargo, la vulnerabilidad está ahí.
J&J ha enviado cartas a todos los usuarios de esta bomba donde les asegura que el dispositivo es seguro y pueden seguirlo usando, sin embargo se mencionan algunas recomendaciones para no ser blanco de potenciales ataques, como por ejemplo dejar de usar el mando y programar la bomba de forma manual, ya que para cifrar las comunicaciones se requieren modificaciones en la programación del software, algo que requeriría retirar todos los dispositivos del mercado para instalar la actualización, lo que representa dinero y tiempo, por lo que han decidido dejarlo así y únicamente emitir las recomendaciones de seguridad.
Lamentablemente este no es el primer caso de un dispositivo médico con vulnerabilidades, ya han surgido casos de marcapasos y desfibriladores que presentan el mismo patrón de comunicaciones sin cifrado, lo que ha provocado que la FDA esté iniciando una investigación para que las compañías responsables de estos casos, y que ponen en riesgo la vida de sus usuarios, tengan la obligación de solucionar este tipo de fallos, donde también se incluyen recomendaciones para que las compañías trabajen con investigadores de seguridad con el fin de mitigar este tipo de riesgos que empiezan a ser comunes.
Fuente: http://www.xataka.com/seguridad/el-hackeo-no-tiene-limites-y-el-nuevo-blanco-son-las-bombas-de-insulina