El FBI advirtió recientemente que cientos de vulnerabilidades en dispositivos médicos ampliamente utilizados permiten a los atacantes ingresar al sistema y llevar a cabo ataques cibernéticos. En un aviso del Centro de Quejas de Delitos en Internet (IC3) del FBI, las fuerzas del orden dijeron que hay un número creciente de vulnerabilidades relacionadas con dispositivos médicos sin parches que se ejecutan con software obsoleto y dispositivos sin las características de seguridad adecuadas.
El FBI mencionó vulnerabilidades encontradas en:
- Bombas de insulina.
- Desfibriladores intracardiacos.
- Telémetros cardíacos móviles.
- Marcapasos.
- Bombas de anestesia intratecal.
El FBI también señaló que los atacantes podrían obtener acceso a los dispositivos y cambiar las lecturas, sufrir una sobredosis de drogas o de otro modo comprometer la salud de los pacientes. Las vulnerabilidades en los dispositivos médicos están relacionadas principalmente con el diseño del hardware del dispositivo y la gestión del software del mismo. Éstos incluyen:
- Configuraciones estándar y personalizadas.
- Falta de funciones de seguridad integradas en los dispositivos.
- La imposibilidad de actualizar estas funciones.
El FBI señaló que el hardware de dispositivos médicos a menudo se ha utilizado durante más de 30 años en algunas instalaciones médicas, lo que les da a los ciberdelincuentes suficiente tiempo para descubrir y explotar errores. Muchos dispositivos antiguos contienen software obsoleto porque el fabricante ya no los admite y no reciben actualizaciones.
Según los expertos, alrededor del 53% de todos los dispositivos médicos que funcionan y otros dispositivos IoT en los hospitales contienen vulnerabilidades críticas. Según un informe, hay un promedio de 6,2 vulnerabilidades por dispositivo médico. También se ha informado que más del 40% de los dispositivos médicos se encuentran al final de su vida útil y carecen de actualizaciones de seguridad.
Los ciberdelincuentes también están robando millones de dólares de organizaciones médicas que utilizan procesadores de pago
En su alerta, el FBI detalla cómo los hackers informáticos utilizan los procesadores de pago de las instalaciones médicas para redirigir el dinero a sus cuentas bancarias. Los atacantes utilizan técnicas de ingeniería social e información de identificación personal (PII) disponible públicamente de empleados de procesadores de pago, se hacen pasar por ellos y obtienen acceso a archivos, portales médicos, información de pago y sitios web.
Usando los datos recopilados, los hackers informáticos ingresan a las cuentas de los empleados de los procesadores de pagos médicos, después de lo cual redirigen ese dinero a sus cuentas. El informe del FBI informa varios incidentes similares:
- En abril de 2022: los hackers informáticos se hicieron pasar por empleados de una gran empresa médica que posee más de 175 instalaciones médicas. Los atacantes cambiaron las instrucciones de la cámara de compensación automatizada (ACH) de uno de los procesadores de pago y redireccionaron unos 840.000 dólares a sus cuentas.
- En febrero de 2022: los atacantes se infiltraron en los sistemas de una gran empresa médica y cambiaron la información bancaria sobre una transferencia directa desde el hospital, lo que provocó que el atacante robara 3,1 millones de dólares.
- En marzo de 2022: los atacantes usaron la misma estrategia y robaron alrededor de 700,000 de dólares. Puede obtener más información sobre los ataques y ver una lista detallada de recomendaciones para prevenirlos aquí.
