Cómo hackear un hospital

¿Te imaginas que el sistema informático de un hospital sea secuestrado por unos hackers? Pues es algo que ya ha sucedido. Hace un mes, el Hollywood Presbyterian Medical Center ha tenido que pagar más de 15.000 euros para poder recuperar el acceso a parte de sus archivos. Unos piratas informáticos dejaron KO durante más de una semana los ordenadores del hospital estadounidense con un ataque de 'ransonware'.

Este tipo de virus encripta los archivos a los que accede y los deja a merced de los atacantes, que pueden establecer una contraseña de forma remota para acceder a ellos y piden dinero a cambio de recuperarlos. Para infectar los equipos se disfraza de un programa o archivo legítimo, como otros tantos casos de 'phising'.

El hospital afirmó que no se habían visto afectados los registros de los pacientes, aunque sí se puso en jaque el funcionamiento habitual del centro, que tuvo que volver al papel durante unos días y acabar pagando a los ciberdelincuentes.

Durante los mismos días en los que se desarrollaba esta historia, Sergey Lozhkin, un investigador de la firma de seguridad Kaspersky, dio una charla en la cumbre de seguridad SAS 2016 de Tenerife, sobre cómo consiguió penetrar en las redes de un hospital local. En ella explicó cómo la brecha de seguridad no solamente afecta a los centros médicos, sino también a los fabricantes de material médico con conectividad a internet.

Un buen día, Lozhkin se encontraba navegando por Shodan, un buscador de internet de las cosas en el que se pueden encontrar fácilmente objetos conectados a internet como webcams, wearables o alarmas. De repente encontró en su búsqueda equipo médico de un hospital que le resultó familiar, ya que un amigo suyo trabajaba ahí.

Asustado por sus hallazgos, habló con su amigo y la dirección del hospital para realizar una prueba  de penetración para verificar la seguridad del centro, salvaguardando los datos reales de los pacientes. Los resultados de su investigación los cuenta en el siguiente vídeo.

En sus primeros intentos halló que no se podía acceder remotamente a los equipos desde su casa, lo que le tranquilizó un poco. Pero sólo con acercarse al edificio del hospital, lo suficientemente cerca como para llegar a sus redes wifi con el ordenador portátil, comprobó que podía meterse hasta la cocina -y no literalmente, porque suponemos que no estaba equipada con objetos inteligentes conectados-.

Descifrando la clave wifi pudo acceder a varios equipos conectados inalámbricamente, entre ellos un escáner tomográfico que guardaba los registros de los pacientes. Aunque era una prueba con datos ficticios, comprobó que podría haber robado, eliminado e incluso modificado los datos fácilmente.

Mejorar la seguridad de la red pública no es suficiente para evitar estos robos, según afirma el representante de la compañía rusa. El problema está en la vulnerabilidad de muchos objetos del llamado internet de las cosas, cuyos desarrolladores descuidan la seguridad de sus productos. Y no estamos hablando de una pulsera de fitness, sino de equipamiento que cuesta una pasta, por lo que es fundamental preocuparse por descubrir vulnerabilidades y desarrollar parches para solventar las nuevas amenazas.