Falta de regulaciones IoT pone en riesgo a industrias y personas

Caso hipotético: un hacker tiene acceso a los sistemas de fotomultas de la Ciudad de México y puede manipular la información de manera discreta. La integridad de un sistema, de por sí ya desacreditado por la ciudadanía, se ha corrompido.

El impacto, quizás, no sea tan dramático si el escenario se traslada al campo de los dispositivos médicos conectados a Internet, pues existe la posibilidad de que un intruso colapse hospitales, manipule información de los registros médicos, altere el equipo usado para cirugías, o detenga el funcionamiento de un marcapasos.

Desde el 2015, los investigadores de la firma de ciberseguridad TrapX Security, han dado a conocer que accedieron a redes hospitalarias utilizando dispositivos médicos conectados a la red, atacando a los sistemas Windows XP. Los atacantes aprovecharon las puertas traseras de los dispositivos con las que podrían exfiltrar información sin ser detectados.

En entrevista con El Economista, Moshe Ben Simon, cofundador y vicepresidente de Servicios de TrapX explicó que los sistemas informáticos en los hospitales son obsoletos, sin actualizarse en veinte años, lo que hace que estas amenazas, dirigidas a sistemas obsoletos, pasen desapercibidas por los sistemas de ciberseguridad actuales.

Si ves el número de hospitales de la red hospitalaria de Reino Unido, tienen entre 15,000 y 20,000 dispositivos médicos de los cuales entre el 10% y 20% están conectados a la red, es decir, al menos unos 1,500 equipos , comentó.

Ben Simon reconoció que la falta de acompañamiento de los vendedores con sus clientes para la actualización de los sistemas, las medidas débiles de seguridad en los sistemas hospitalarios y en los equipos médicos conectados, así como una regulación débil en ciberseguridad ponen en riesgo al sector salud a nivel global.

El tema de la ciberseguridad de los objetos conectados se colocó en los reflectores y la agenda pública el año pasado, cuando una red de objetos zombie atacaron al proveedor de servicios Dyn, que dejó fuera de línea a plataformas como Netflix, Spotify, Amazon o medios como el New York Times. Roberto Martínez, analista Senior del Equipo Global de Investigación y Análisis (GReAT) de la firma de seguridad informática Kaspersky Lab, dijo durante la Cumbre Latinoamericana de Analistas de Seguridad que desde el 2008 se tienen registros de ataques relacionados con el Internet de las Cosas.

En el 2016, el mundo se dio cuenta de los enormes riesgos alrededor de los dispositivos IoT con la aparición de Mirai, los ataques se remontan a años atrás , apuntó.

Lo cierto es que el crecimiento de las amenazas alrededor de los objetos conectados crece de manera exponencial. Cifras ofrecidas por el experto mexicano de Kaspersky Lab apuntan que de enero a mayo del 2017 se habían descubierto 7,242 amenazas de malware IoT, cifra que casi duplica las 4,153 muestras analizadas del 2013 al 2016.

Además de código malicioso y hackeo a dispositivos, los protocolos de seguridad y actualización también se convierten en un desafío que puede incluso poner en riesgo la vida de las personas. Durante una entrevista con El Economista, Martínez ejemplifica el llamado a actualizar casi medio millón de marcapasos de los laboratorios Abbott para corregir un fallo de seguridad que podría ser usada por un hacker para tomar el control del dispositivo.

Estamos hablando de cientos de miles de dispositivos. Y no es que desde tu casa te conectes a un lugar y autorices la actualización; tienes que ir físicamente y la actualización tiene un promedio de tres minutos. El tema es cuántos hospitales tienen esa capacidad y el tiempo para atender en una hora o un día y se puede tornar en algo muy complicado por la emergencia de la situación. Estamos en una etapa de madurez de amenazas que apenas está empezando a crecer. En los últimos años se ha visto un crecimiento importante pero no por eso es si no actualizo, me voy a morir mañana aunque hay casos críticos como este y no hay una logística , dijo el experto.

Al igual que con las computadoras, tal vez no vaya el 100% a actualizar su marcapasos e incluso hasta por temor. Y si piensas en una actualización del firmware y si todo sale bien, en tres minutos estoy fuera, pero ¿si no, qué pasa si algo falla y se daña el sistema? Se pone más complicado , agregó.

Las políticas públicas tienen un factor crucial para la minimización de los riesgos cibernéticos. Martínez ejemplifica que la Administración de Alimentos y Medicamentos de los Estados Unidos (FDA) emitió unos lineamientos para los dispositivos médicos conectados a la red. Pero reconoce que su alcance es limitado dado que sólo es efectiva para una jurisdicción.

Va a depender de varios factores como políticas públicas, una mayor colaboración internacional en temas tecnológicos para que sea implementable a nivel lo más global posible. Se debe pensar en este tipo de leyes a nivel global sobre todo en temas de tecnología porque no hay barreras en internet, está todo muy abierto , apuntó.

¿Cómo abordarlo desde las políticas públicas? El analista de Kaspersky Lab recomienda que se haga por vertical y por industria de una manera muy segmentada pues la misma regulación en ciberseguridad no puede aplicarse al sector salud.

En algunos casos estamos hablando de vidas humanas y en otros casos estamos hablando de aspectos financieros. Necesariamente tienes que segmentar, tienes que dividir y tienes que especificar, e incluso en toda la parte de industria médica, pero tiene varias aristas pues una cosa es la información y los estándares de seguridad para manejar la información de los pacientes; y los fabricantes, cuáles son los aspectos que se tienen que basar antes de liberar el producto, como los medicamentos que no se liberan al público hasta que es aprobado por un organismo de salud , comentó.

Generar confianza en las políticas públicas

Antes de implementar cualquier política pública en materia de ciberseguridad, primero los Estados tienen que ganarse la confianza de los ciudadanos y transparentar las prácticas que pueden vulnerar los dispositivos a través de programas de espionaje y ataques dirigidos, explicó Santiago Pontiroli, analista de Seguridad del GReAT.

El gobierno mexicano anunció que en octubre presentará la Estrategia de Ciberseguridad Nacional, una política pública que se basa en ocho ejes transversales que van desde cultura y concienciación hasta la adecuación de marcos jurídicos, y con cuatro objetivos estratégicos: economía, sociedad, gobierno y seguridad nacional.

Hemos tenido muchísimos incidentes, no sólo en México, muchísimos gobiernos que han comprado o adquirido tecnología de espionaje entonces lo primero que tienen que hacer es especificar cuáles son las tecnologías que van a utilizar y cuáles quedarán fuera; y si vamos a hablar de ciberdefensa y tenemos estas tecnologías, en qué casos las van a utilizar, en qué casos no y contra quién. Habría que partir de eso porque primero el público tiene que confiar en que va a ser lo correcto , dijo.

Así, el experto coincidió con las voces que piden transparentar, ejercer controles e investigar las prácticas de espionaje que el gobierno mexicano ha realizado en contra de activistas, periodistas, empresarios y sociedad civil, para dar legitimidad a la ENCS.

julio.sanchez@eleconomista.mx