Un monitor médico popular es el último dispositivo producido en China para recibir un escrutinio por sus posibles riesgos cibernéticos. Sin embargo, no es el único dispositivo de salud del que debemos preocuparnos. Los expertos dicen que la proliferación de dispositivos de salud chinos en el sistema médico de los EE. UU. Es motivo de preocupación en todo el ecosistema.
El Contec CMS8000 es un monitor médico popular que rastrea los signos vitales de un paciente. El dispositivo rastrea los electrocardiogramas, la frecuencia cardíaca, la saturación de oxígeno en la sangre, la presión arterial no invasiva, la temperatura y la velocidad de respiración. En los últimos meses, la FDA y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA) advirtieron sobre una «puerta trasera» en el dispositivo, una «vulnerabilidad fácil de explotar que podría permitir que un mal actor altere su configuración».
El equipo de investigación de CISA describió «tráfico de red anómalos» y la puerta trasera «que permite que el dispositivo descargue y ejecute archivos remotos no verificados» a una dirección IP no asociada con un fabricante de dispositivos médicos o una instalación médica, pero una universidad de terceros, «características altamente inusuales» Eso va en contra de las prácticas generalmente aceptadas, «especialmente para dispositivos médicos».
«Cuando se ejecuta la función, los archivos en el dispositivo se sobrescriben por la fuerza, evitando que el cliente final, como un hospital, mantenga la conciencia de qué software se ejecuta en el dispositivo», escribió CISA.
Las advertencias dicen que dicha alteración de la configuración podría conducir a, por ejemplo, el monitor que dice que los riñones de un paciente están mal funcionando o respirando, y eso podría hacer que el personal médico administre remedios innecesarios que podrían ser dañinos.
La vulnerabilidad del Contec no sorprende a los expertos médicos y de TI que han advertido durante años que la seguridad del dispositivo médico es demasiado laxa.
Los hospitales están preocupados por los riesgos cibernéticos
«Esta es una gran brecha que está a punto de explotar», dijo Christopher Kaufman, profesor de negocios en la Universidad de Westcliff en Irvine, California, que se especializa en TI y tecnologías disruptivas, refiriéndose específicamente a la brecha de seguridad en muchos dispositivos médicos.
La American Hospital Association, que representa a más de 5,000 hospitales y clínicas en los Estados Unidos, está de acuerdo. Ve la proliferación de dispositivos médicos chinos como una amenaza grave para el sistema.
En cuanto a los monitores contec específicamente, la AHA dice que el problema debe abordarse con urgencia.
«Tenemos que poner esto en la parte superior de la lista para el potencial de daño del paciente; tenemos que parchear antes de que hackearan», dijo John Riggi, asesor nacional de ciberseguridad y riesgo de la Asociación Americana de Hospital. Riggi también sirvió en los roles antiterroristas del FBI antes de unirse a la AHA.
CISA informa que no hay un parche de software disponible para ayudar a mitigar este riesgo, pero en su aviso dijo que el gobierno está trabajando actualmente con Contec.
Contec, con sede en Qinhuangdao, China, no devolvió una solicitud de comentarios.
Uno de los problemas es que se desconoce cuántos monitores hay en los Estados Unidos.
«No sabemos debido al gran volumen de equipos en los hospitales. Especulamos que hay, conservadoramente, miles de estos monitores; esta es una vulnerabilidad muy crítica», dijo Riggi, y agregó que el acceso chino a los dispositivos puede plantear estratégico, Riesgos técnicos y de la cadena de suministro.
A corto plazo, la FDA aconsejó a los sistemas médicos y pacientes que se aseguren de que los dispositivos solo funcionen localmente o que desactiven cualquier monitoreo remoto; o si el monitoreo remoto es la única opción, para dejar de usar el dispositivo si hay una alternativa disponible. La FDA dijo que hasta la fecha no es consciente de ningún incidente de ciberseguridad, lesiones o muertes relacionadas con la vulnerabilidad.
La American Hospital Association también ha dicho a sus miembros que hasta que haya un parche disponible, los hospitales deben asegurarse de que el monitor ya no tenga acceso a Internet y esté segmentado del resto de la red.
Riggi dijo que mientras los monitores contec son un excelente ejemplo de lo que no consideramos a menudo entre el riesgo de atención médica, se extiende a una variedad de equipos médicos producidos en el extranjero. Los hospitales estadounidenses con problemas de liquidez, explicó, a menudo compran dispositivos médicos de China, un país con antecedentes de instalación de malware destructivo dentro de la infraestructura crítica en el equipo de bajo costo de los EE. UU. Compra el acceso potencial chino a un tesoro de información médica estadounidense que puede ser reutilizado y agregado para todo tipo de propósitos. Riggs dice que los datos a menudo se transmiten a China con el propósito establecido de monitorear el rendimiento de un dispositivo, pero poco más se sabe sobre lo que sucede con los datos más allá de eso.
Riggi dice que las personas no están en riesgo médico agudo como la información recopilada y agregada para reutilizar y poner en riesgo el sistema médico más grande. Aún así, señala que, al menos teóricamente, no se puede descartar que los estadounidenses prominentes con dispositivos médicos podrían ser destinados a la interrupción.
«Cuando hablamos con los hospitales, los CEO están sorprendidos, no tenían idea de los peligros de estos dispositivos, por lo que los estamos ayudando a comprender. La pregunta para el gobierno es cómo incentivar la producción nacional, lejos del extranjero», dijo Riggi.
Recopilación de datos chino sobre estadounidenses
La advertencia de Contec es similar a un nivel general para Tiktok, Deepseek, TP-Link Routers y otros dispositivos y tecnología de China que el gobierno de los Estados Unidos dice que están recopilando datos sobre los estadounidenses. «Y eso es todo lo que necesito escuchar al decidir si comprar dispositivos médicos de China», dijo Riggi.
Aras Nazarovas, un investigador de seguridad de la información en CyberNews, está de acuerdo en que la amenaza de CISA plantea problemas graves que deben abordarse.
«Tenemos mucho que temer», dijo Nazarovas. Los dispositivos médicos, como el Contec CMS8000, a menudo tienen acceso a datos de pacientes altamente sensibles y están directamente conectados a funciones que salvan vidas. Nazarovas dice que cuando los dispositivos están mal defendidos, se convierten en presas fáciles para los piratas informáticos que pueden manipular los datos mostrados, alterar la configuración vital o deshabilitar el dispositivo por completo.
«En algunos casos, estos dispositivos están tan mal protegidos que los atacantes pueden obtener acceso remoto y cambiar la forma en que el dispositivo opera sin que el hospital o los pacientes sepa», dijo Nazarovas.
Las consecuencias de la vulnerabilidad y las vulnerabilidades de Contec en una variedad de dispositivos médicos de fabricación china podrían ser fácilmente potencialmente mortales.
«Imagine un monitor del paciente que deje de alertar a los médicos para que se caiga en la frecuencia cardíaca de un paciente o envíe lecturas incorrectas, lo que lleva a un diagnóstico retrasado o incorrecto», dijo Nazarovas. En el caso del Contec CMS8000, y Epsimed MN-120 (una marca diferente para la misma tecnología), advirtiendo del gobierno, estos dispositivos se configuraron para permitir la ejecución del código remoto por el servidor remoto.
«Esta funcionalidad se puede usar como punto de entrada en la red del hospital», dijo Nazarovas, lo que lleva al peligro del paciente.
Más hospitales y clínicas están prestando atención. El Hospital Regional de Bartlett en Juneau, Alaska, no usa los monitores contecos, pero siempre busca riesgos. «El monitoreo regular es crítico ya que el riesgo de ataques de ciberseguridad contra los hospitales continúa aumentando», dice Erin Hardin, una portavoz de Bartlett.
Sin embargo, el monitoreo regular puede no ser suficiente siempre que los dispositivos se realicen con poca seguridad.
Potencialmente empeora las cosas, dice Kaufman, es que el Departamento de Eficiencia del Gobierno está vaciando los departamentos a cargo de salvaguardar tales dispositivos. Según Associated Press, muchos de los despidos recientes en la FDA son empleados que revisan la seguridad de los dispositivos médicos.
Kaufman lamenta la probable falta de supervisión gubernamental sobre lo que ya es, dice, una industria libremente regulada. Un informe de la Oficina de Responsabilidad del Gobierno de los Estados Unidos a enero de 2022, indicó que el 53% de los dispositivos médicos conectados y otros dispositivos de Internet de las cosas en hospitales conocían vulnerabilidades críticas. Él dice que el problema solo ha empeorado desde entonces. «No estoy seguro de lo que se quedará ejecutando estas agencias», dijo Kaufman.
«Los problemas de dispositivos médicos están muy extendidos y han sido conocidos desde hace algún tiempo», dijo Silas Cutler, investigador principal de seguridad de la compañía de datos médicos Censys. «La realidad es que las consecuencias pueden ser graves, e incluso mortales. Si bien las personas de alto perfil tienen un riesgo elevado, los más afectados serán los sistemas hospitalarios, con efectos en cascada en los pacientes cotidianos».
