Una década atrás El investigador de seguridad Barnaby Jack hackeó de manera inalámbrica una bomba de insulina de un hospital en vivo en el escenario frente a cientos de personas para demostrar cuán fácilmente podría verse comprometida para administrar una dosis letal de medicamento. En los años que han pasado, la seguridad de los dispositivos médicos ha mejorado, aunque con un contratiempo ocasional de alto perfil. Pero los investigadores ahora están encontrando vulnerabilidades en tecnologías hospitalarias más nuevas que no eran tan omnipresentes hace una década.
Ingrese a los robots hospitalarios autónomos, los caballos de batalla digitales autocontrolados supuestamente amigables que pueden transportar medicamentos, ropa de cama, alimentos, medicamentos y muestras de laboratorio a través del campus de un hospital. Estos robots, como los construidos por el fabricante de robots Aethon, están equipados con el espacio para transportar bienes críticos y acceso de seguridad para ingresar a partes restringidas del hospital y montar ascensores, todo mientras se reducen los costos de mano de obra.
Pero los investigadores de Cynerio, una startup de seguridad cibernética enfocada en proteger los sistemas hospitalarios y de atención médica, descubrieron un conjunto de cinco vulnerabilidades nunca antes vistas en los robots Aethon, que, según dicen, permitieron a los piratas malintencionados secuestrar y controlar de forma remota estos robots autónomos y, en algunos casos, a través de Internet.
Las cinco vulnerabilidades, que Cynerio llama colectivamente JekyllBot:5, no son con los robots en sí, sino con los servidores base que se utilizan para comunicarse y controlar los robots que atraviesan los pasillos de los hospitales y hoteles. Los errores van desde permitir que los piratas informáticos creen nuevos usuarios con acceso de alto nivel para luego iniciar sesión y controlar de forma remota los robots y acceder a áreas restringidas, espiar a los pacientes o invitados usando las cámaras integradas del robot o causar caos.
Asher Brass, el investigador principal de las vulnerabilidades de Aethon, advirtió que las fallas requerían un “conjunto de habilidades muy bajo para la explotación”.
Cynerio dijo que los servidores base tienen una interfaz web a la que se puede acceder desde dentro de la red del hospital, lo que permite a los usuarios “invitados” ver las imágenes de la cámara del robot en tiempo real y sus próximos horarios y tareas para el día sin necesidad de una contraseña. Pero aunque la funcionalidad de los robots estaba protegida por una cuenta de “administrador”, los investigadores dijeron que las vulnerabilidades en la interfaz web podrían haber permitido que un pirata informático interactuara con los robots sin necesidad de una contraseña de administrador para iniciar sesión.
Uno de los cinco errores, dijeron los investigadores, expuso a los robots al control remoto utilizando un controlador estilo joystick en la interfaz web, mientras explotaba otro de los errores para interactuar con las cerraduras de las puertas, llamar y subir a los ascensores, y abrir y cerrar los cajones de medicamentos. .
En su mayor parte, el riesgo potencial es limitado si el acceso a los servidores base de los robots se limita a la red local, limitando el acceso solo a los empleados registrados. Los investigadores dijeron que el riesgo era mucho mayor para los hospitales, hoteles o cualquier otro lugar que use estos robots que tienen un servidor base conectado a Internet, ya que las vulnerabilidades pueden activarse desde cualquier lugar de Internet.
Cynerio dijo que encontraron evidencia de robots expuestos a Internet en hospitales, así como en instalaciones que brindan atención a los veteranos. Aethon promociona sus robots en cientos de hospitales de todo el mundo, muchos en los Estados Unidos, lo que representa miles de robots.
Los errores se corrigieron en un lote de actualizaciones de software y firmware lanzadas por Aethon, después de que Cynerio alertara a la empresa sobre los problemas. Se dice que Aethon restringió los servidores expuestos a Internet para aislar a los robots de posibles ataques remotos y solucionó otras vulnerabilidades relacionadas con la web que afectaron a la estación base.
En una declaración dada a TechCrunch, el director ejecutivo de ST Engineering Aethon, Peter Seiff, confirmó las vulnerabilidades, pero se negó a responder nuestras preguntas, como qué porcentaje de los robots autónomos de sus clientes habían sido reparados después de la actualización del software.
Lee mas: