Unos investigadores de seguridad han demostrado que pueden reprogramar en secreto un desfibrilador implantado para que permanezca inactivo aunque haya una urgencia cardiaca, producir una descarga de 700 voltios cuando no es necesario, o agotar su batería.
Una solución propuesta por investigadores de la Universidad de Rice (EE.UU.) y la empresa de seguridad RSA usa una lectura del latido del corazón como forma de confirmar que quienquiera que esté intentando reprogramar o descargar datos de un dispositivo está en contacto directo con el paciente y no es un pirata a distancia. Según los investigadores, esta solución podría funcionar incluso en situaciones de urgencia que no admiten retrasos.
Usando el nuevo método, el médico sujeta un dispositivo contra el cuerpo del paciente y toma una lectura directa del latido. El dispositivo registra el latido del paciente y lo compara con el que se emite mediante una señal inalámbrica desde el implante, confirmando que las señales coinciden. El intercambio inalámbrico de la señal del latido está encriptado, lo que previene cualquier intento por secuestrar la comunicación durante el intercambio.
"Esto resuelve un problema grave que tiene pocas soluciones reales", afirma Shane Clark, investigador de BBN Technologies y antiguo estudiante del laboratorio de Kevin Fu, un importante investigador en seguridad de dispositivos médicos que ahora trabaja en la Universidad de Michigan (EE.UU., ver "Innovador joven del 2009: Kevin Fu, 33"). "Dadas las restricciones especiales a las que se enfrentan los dispositivos médicos implantables, es importante hacer métodos de seguridad a medida para ellos, y eso es lo que hace esta tecnología".
Clark explica que la solución evita complicar demasiado las cosas para que un medico o el personal sanitario puedan acceder al dispositivo en una situación de emergencia. No necesitarían, por ejemplo, autenticarse individualmente con una contraseña, o confirmar la identidad del paciente. Esos métodos tradicionales de protección "pueden poner en peligro la vida de los pacientes en una situación de emergencia en el que la autenticación falle", explica Clark.
Aunque existen distintas investigaciones que demuestran que el latido de una persona se puede usar como identificador biométrico, esta simplemente busca asegurarse de que dos dispositivos estén escuchando la misma cosa al mismo tiempo. Alguien que respondiera a una emergencia en el futuro no necesitaría conocer la identidad de la persona que está sufriendo el infarto, por ejemplo, antes de conseguir acceso y descargar información del dispositivo implantado a la víctima. "El corazón produce, muy convenientemente, un flujo de bits al azar, entramos en el flujo de bits y nos aseguramos de estar recibiendo la misma señal al mismo tiempo", explica Ari Juels, científico jefe de los Laboratorios RSA de Massachusetts (EE.UU.), y coautor del artículo. (En concreto, simplemente observa la pausa entre latidos para emparejarlos). "Nuestro método no depende del registro de una biométrica, solo comprueba que las señales sean idénticas".
Pero el paso de encriptado es importante, afirma. Esto impide que una atacante teórico en un hospital, por ejemplo, o en un ento o de batalla, secuestre la señal para dar instrucciones maliciosas. Además, "el hecho de que estás leyendo un símbolo que cambia al azar, significa que el atacante no puede sacar un perfil del latido en otro momento dado y usar la información después para atacar el dispositivo", añade.
En la actualidad, los médicos o los fabricantes de dispositivos médicos usarán la comunicación inalámbrica para actualizar el software en el dispositivo, y para descargar información sobre sucesos (tales como información sobre shocks cardiacos o los horarios de la administración de las dosis de insulina), sin que sea necesaria la cirugía.
Pero es un sistema que se basa en la confianza, explica Masoud Rostami, estudiante de doctorado en la Universidad de Rice que ha coescrito el artículo sobre el método del latido. "Desgraciadamente, los fabricantes no han puesto en marcha ningún mecanismo de seguridad en los dispositivos médicos implantados. No han querido o podido usar contraseñas sencillas, ya que temen con razón que la contraseña se pueda perder o robar".
En la actualidad, el personal sanitario que atiende durante una emergencia no suele interactuar con los dispositivos implantados. Pero en el futuro, quizá sea valioso que puedan descargar datos de dispositivos implantados para poder hacer un mejor diagnóstico durante una urgencia.
Sin embargo, poner en práctica cualquier cambio llevará mucho tiempo, debido a la necesidad de que lo apruebe la Agencia Estadounidense del Medicamento. "Dados los largos ciclos de vida del producto, probablemente tarde años en llegar al mercado, incluso aunque un fabricante quisiera ponerlo en marcha hoy mismo", afirma Clark.