15/02/2016 | Por Noticias TNE
Sergey Lozhkin comprobó lo fácil que es penetrar la red de seguridad y robar expedientes médicos desde su computadora.
Podrías pensar que una gran institución médica en la que se manejan miles de datos y estados de salud de pacientes estarían fuertemente resguardados, sin embargo un investigador seguridad de Kaspersky Lab ha demostrado lo contrario.
Sergey Lozhkin presentó su caso de estudio en el Security Analyst Summit, realizado en Tenerife, España, donde demostró cómo pudo ser capaz de hackear el equipo médico de un hospital.
De acuerdo al investigador, el experimento ocurrió cuando se dio cuenta que podía acceder fácilmente en línea a un equipamiento, al profundizar más percibió que los datos eran de un hospital cercano, después contactó a las autoridades de la institución y les explicó el problema a las personas a cargo, así que eventualmente accedieron a que Lozhkin llevara a cabo su prueba de seguridad en la que intentara penetrar del todo a los dispositivos médicos sólo con entrar a su red.
Al contar con equipo conectado al Internet de las Cosas, Lozhkin sabía que no sería difícil acceder, pues se ha demostrado que aunque el IoT es increíblemente útil para resolver otros tipos de problemáticas, lo cierto es que aún mantienen diversas vulnerabilidades graves de seguridad.
Cuando inició el experimento, el investigador pudo notar que no iba a poder entrar al equipamiento desde una conexión remota, con esto comprobó que el hospital sí contaba con firewalls apropiadamente configuradas, por lo que sería suficiente para frenar a hackers amateurs de penetrar la seguridad de la institución.
Lozhkin pudo entrar a la red del hospital, sin embargo lo logró hasta que condujo hacia el edificio lo suficientemente cerca para alcanzar la señal WiFi desde su computadora portátil.
A partir de este punto, consiguió hackear y robar la clave de la red local y conectarse a la conexión WiFi interna del edificio, que le permitió acceder a equipamiento médico como un scanner para tomografías, de donde pudo extraer datos confidenciales como records de pacientes.
“Yo no tengo información acerca de equipo médico, no sé cómo funciona. Empecé la investigación sólo para aprender, en verdad es alarmante que cuando desarrollamos tecnología en sistemas de software, los ingenieros se olvidan sobre la seguridad de TI, es un problema no sólo con equipamiento de salud, sino en otras áreas de la industria” destacó Lozhkin.
El investigador también afirmó que los principales grupos de personas que deberían estar preocupados sobre esta vulnerabilidad son los desarrolladores de este tipo de dispositivos, así como el consejo de administración del hospital.
“Los miembros de la dirección deben prestar más atención a la seguridad de sus redes y certificar completamente que ninguna infraestructura crítica del equipo se encuentre conectada a una red pública” puntualizó.
Aunque toda la información de los expedientes de pacientes que Lozhkin “robó” era falsa, ya que el hospital supo desde un inicio sus intentos de penetrar sus redes, el investigador pudo comprobarles las vulnerabilidades con las que cuentan.
