¿Se puede hackear un corazón?

No sólo es posible, sino que ya se ha hecho en marcapasos. Las consecuencias exceden el campo de la medicina.

Seguramente habrá algunos románticos que, al leer el titulo, habrán pensado en escapadas en pareja, regalos sorprendentes o proposiciones de escala mundial. Pero no se trata de eso desafortunadamente. Hackear un corazón no tiene nada que ver con el amor y sí con los fallos de seguridad cuando se tiene un marcapasos. En este sentido, hay que señalar que en los últimos años, de acuerdo a cifras del Registro Español de Marcapasos, en España se han implantado un promedio de 30.000 marcapasos anualmente. Lo que indica que estos fallos afectan a miles de personas.

La internet de los dispositivos médicos, aquellos implantes que se conectan a la red para enviar y recibir información, ha supuesto un enorme avance en el aspecto hospitalario. Los pacientes se ven beneficiados por no tener que acudir a su centro de salud, ya que los controles rutinarios y pequeños ajustes se pueden realizar de forma remota. Los médicos dedican su tiempo de atención a casos más específicos y en los momentos de menos actividad, pueden controlar el avance de sus pacientes remotos. Todos ganan.

O casi, porque esto también tiene un lado oscuro. Las alarmas saltaron el año pasado cuando un grupo de estudiantes de medicina de la Universidad del Sur de Alabama estaban trabajando con iStan. Este maniquí es en verdad un robot capaz de simular los procesos cardiovasculares, respiratorios y neurológicos de un ser humano. En total imita 300 procedimientos médicos distintos. De este modo iStan constituye un sistema perfecto, entre otras cosas, para probar la eficacia de marcapasos o bombas de insulina que se controlan de forma remota. Y, con el solo propósito de ver qué ocurría, los estudiantes hackearon el marcapasos del corazón que iStan llevaba ese momento. Lo aceleraron, ralentizaron su ritmo...jugaron con él hasta que decidieron acabar con su sufrimiento.

La travesura llegó a la prensa y muy pronto expertos en ciberseguridad de GData se preguntaron si era posible hacer esto con una persona real. El primer paso fue analizar la seguridad de los marcapasos más habituales y descubrieron que la mayoría de los que se utilizan tienen protocolos de seguridad muy vulnerables. El informe realizado reveló que los transmisores utilizados en un determinado modelo sufrían una vulnerabilidad que permitía chequear el estado del marcapasos y su configuración de forma remota, con el único requisito de que el paciente se encontrara físicamente en el radio de acción de dicho transmisor. La brecha era de tal magnitud que los marcapasos se podían reconfigurar a voluntad. Como con iStan.

El peligro resultó tan obvio que a finales de 2016, más precisamente el 28 de diciembre, la FDA (Administración de Alimentos y Medicamentos de EE UU) publicara el segundo informe en su historia vinculado a la ciberseguridad de este tipo de marcapasos (también se incluyen desfibriladores) y aconsejando las medidas a tomar por parte de las empresas que los desarrollan, los hospitales y hasta los usuarios que debieron descargarse una actualización al corazón, literalmente, para lidiar con la vulnerabilidad.

Sin embargo, el primer informe de la FDA tampoco es tan lejano en el tiempo, aunque es igual de peligroso el motivo que ha llevado a su publicadión. En 2015 Billy Rios, experto en ciberseguridad que ha sido contratado por el Pentágono, Google, Microsoft y otras, denunció al Departamento de Seguridad Interna (el famoso Homeland Security) y luego a la FDA que la bomba de insulina PCA 3 Lifecare, fabricada por Hospira, tenían una serie de vulnerabilidades que permitían modificar la dosis para que el paciente recibiera una cantidad letal de lo que sea que suministre. Estas bombas no solo se usan para dosificar la insulina, sino también para administrar anestesia o cualquier fármaco y se programa de modo remoto a través de una red wireless. Al profundizar en el dispositivo la FDA descubrió que parte del hardware funcionaba con un estándar de seguridad de 1990. ¿Qué significa esto? Que otro experto en seguridad (y diabético), Jerome Radcliffe, hackeó la bomba con un módulo Arduino por el que pagó unos €15. Algo parecido hizo recientemente otro experto, Barnaby Jack, de McAfee, quien logró que, pulsando una sola tecla en su ordenador, un marcapasos situado a uno 20 metros produjera una descarga mortal, algo que el mismo Jack bautizó como «asesinato anónimo».

El peligro es real. Este tipo de dispositivos requieren de un exhaustivo examen por las agencias que autorizan su uso. Algo que a veces toma años. Las actualizaciones, la opción más viable, «son escasas y poco regulares, en el supuesto de que los haya», dice el informe de GData. La solución será personalizar el dispositivo para que el usuario configure las claves.