En España no hay marcapasos ‘hackeables’
Se han descubierto fallos de seguridad en dispositivos con conexión a internet. St. Jude Medical no comercializa ese modelo en España
Este mes, la autoridades sanitarias de Estados Unidos alertaron de una vulnerabilidad en la seguridad de algunos marcapasos de la firma St. Jude Medial, una compañía cuyos diseños están presentes en el mercado español. Sin embargo, el ‘Merlin’, el sistema afectado, no está presente en nuestro país.
Suena a ciencia ficción, pero no lo es. Un hacker con una cierta habilidad podría infiltrarse en una red y manipular el funcionamiento de un marcapasos, provocando su malfuncionamiento y, quien sabe, la muerte de su portador.
La Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) anunció este mes de enero que se habían detectado una serie de fallos de seguridad en un dispositivo asociado a los marcapasos fabricados por la compañía St. Jude Medical.
Se trata del sistema Merlin@Home, un aparato que hace de enlace entre el marcapasos del paciente y una base de datos online. De esta forma, el ‘Merlín’ recoge todo tipo de registros sobre el funcionamiento y la actividad cardiovascular de la persona que lleva el marcapasos desde su propio domicilio, enviándolo directamente a una red en la que los médicos pueden consultar cómo avanza su tratamiento.
Las alarmas saltaron en Estados Unidos después de que la propia empresa anunciase que procedía a actualizar estos dispositivos para instalar un ‘parche’ de seguridad. Se había detectado que los aparatos podrían ser víctima de un ciberataque del tipo ‘Man in the Middle’.
Esta modalidad de ‘hackeo’ permite a una pirata situarse en medio de la comunicación entre el aparato situado en el domicilio del paciente y el servidor que recibe los datos médicos de éste. De esta manera, se puede confundir al ‘Merlín’, haciéndole creer que las ordenes que recibe son legítimas, provenientes de autoridades médicas.
Llegados a ese punto, un hacker podría, por ejemplo, aumentar el volumen de peticiones de información o manipular la actividad del marcapasos. Esto podría provocar que la batería interna del marcapasos se acabase mucho antes de lo esperado, llegando a causar incluso fallos cardiacos al paciente. De momento no se ha confirmado ningún caso.
Según ha podido saber El Confidencial Digital de fuentes médicas especializadas en el sector de los marcapasos, en España “no está en funcionamiento este sistema ‘Merlin@Home’”, por lo que no habría ningún tipo de problema entre quienes llevan un dispositivo de la marca St. Jude Medical.
Sin embargo, el Insituto Nacional de Ciberseguridad de España (INCIBE) ha emitido una alerta de nivel cuatro (alta importancia) advirtiendo de estos fallos de seguridad.
