Principales retos de seguridad de los dispositivos IoMT

Los entornos hospitalarios y clínicos, en general, han sido figuras frecuentes en las listas de intrusiones cibernéticas en los últimos años. Una nueva investigación de la empresa de visibilidad y seguridad de activos cybersecurity/healthcare/" target="_blank" rel="noreferrer noopener">Armis ha revelado cuáles son los principales dispositivos médicos y dispositivos IoT conectados más expuestos a actividades maliciosas.

Los datos analizados, que rastrearon más de tres mil millones de activos, revelaron que los sistemas de llamada a enfermeras son los dispositivos IoMT (Internet de las Cosas Médicas) que corren mayor riesgo, seguidos de las bombas de infusión y los sistemas de administración de medicación. Si consideramos los dispositivos IoT en general, los que encabezan la lista son las cámaras IP, las impresoras y los dispositivos de voz sobre protocolo de Internet (VoIP).

Según la investigación, se espera que los hospitales inteligentes desplieguen más de 7 millones de dispositivos IoMT para 2026, duplicando el número registrado en 2021. Los dispositivos médicos y no médicos están cada vez más conectados, alimentándose automáticamente de datos de pacientes procedentes de dispositivos de monitorización y registrados en historias clínicas electrónicas. Estas conexiones y comunicaciones dentro de los entornos médicos ayudan a mejorar la atención al paciente, pero también hacen que las instalaciones médicas sean cada vez más vulnerables a los ciberataques, lo que podría interrumpir la atención.

El análisis detallado de Armis de los datos de dispositivos médicos conectados y IoT reveló la siguiente información:

• Los sistemas de llamada a enfermera son los dispositivos médicos conectados de mayor riesgo, con un 39% de vulnerabilidades y puntos de exposición comunes (CVE) de gravedad crítica y sin corregir y casi la mitad (48%) con CVE sin corregir.

• Las bombas de infusión ocupan el segundo lugar, con un 27% de CVE de gravedad crítica y sin corrección y un 30% de CVE sin corrección.

• Los sistemas de administración de fármacos ocupan el tercer lugar, con un 4% de CVE críticos sin parchear, pero un 86% con CVE sin parchear. Además, el 32% ejecuta versiones no compatibles de Windows.

• Casi uno de cada cinco (19%) dispositivos médicos conectados utiliza versiones de sistemas operativos no compatibles.

• Más de la mitad de las cámaras IP en entornos clínicos tienen CVEs de gravedad crítica sin parchear (56%) y CVEs sin parchear (59%), lo que convierte a las cámaras en el tipo de dispositivos IoT bajo mayor riesgo.

• Las impresoras son el segundo dispositivo IoT de mayor riesgo dentro de los entornos clínicos, con un 37% de CVEs sin parchear y un 30% de CVEs de gravedad crítica sin parchear.

• Los dispositivos VoIP ocupan el tercer lugar. Mientras que el 53% de ellos tiene CVE sin parchear, solo el 2% tiene CVE de criticidad sin parchear.

“Estas cifras son claros indicadores de los retos a los que se enfrentan las organizaciones sanitarias en todo el mundo. Los avances tecnológicos son esenciales para mejorar la rapidez y la calidad de los tratamientos, ya que el sector se enfrenta a una gran escasez de profesionales sanitarios. Sin embargo, con unos entornos clínicos cada vez más conectados, la superficie de ataque también crece. Proteger todo tipo de dispositivos conectados, médicos, IoT e incluso sistemas de gestión de edificios, con visibilidad total y monitorización contextualizada continua, es esencial para garantizar la seguridad de los pacientes”, explica Mohammad Waqas, arquitecto principal de soluciones sanitarias de Armis.

Uno de los hospitales atendidos por Armis, por ejemplo, obtuvo más visibilidad sobre qué dispositivos están conectados a la red y cómo interactúan entre sí, basándose en alertas basadas en comportamientos observados y reglas de cortafuegos.

Según Armis, una gran proporción de los dispositivos médicos conectados no están gestionados, lo que significa que no están protegidos o que no pueden utilizar las herramientas de supervisión tradicionales, como agentes de seguridad y escáneres. No es difícil deducir, por tanto, que los riesgos de ciberseguridad no harán sino aumentar, y con ellos, los riesgos para la continuidad de los tratamientos de los pacientes.

Además del control limitado de los dispositivos médicos conectados, existen otros riesgos de ciberseguridad para los hospitales. Para Armis, las 10 principales amenazas para la seguridad del Internet de las Cosas médico son:

1. En el primer semestre de 2022, al igual que en los tres años anteriores, la sanidad fue el principal objetivo en términos de filtración de datos, según el  Identity Theft Resource Center (ITRC). La preocupación no solo se centra en los datos médicos confidenciales, sino también en el tiempo de inactividad en la atención al paciente.

2. La coexistencia de entornos OT, IT, IoT y dispositivos médicos conectados amplía las superficies de ataque: hackear un televisor inteligente en la sala de espera de un hospital, por ejemplo, puede abrir la puerta a amenazas que se mueven lateralmente a través de redes hospitalarias a menudo mal segmentadas e infra protegidas.

3. Complejidad de los entornos sanitarios – La diversidad de dispositivos y tipos de sistemas dificulta el seguimiento de activos y la gestión de vulnerabilidades. Además, muchos de los dispositivos son portátiles y están conectados a redes.

4. Los dispositivos médicos no admiten agentes: dado que los dispositivos médicos y clínicos se fabrican intencionadamente como hardware integrado, por lo general no admiten software externo y, en consecuencia, no pueden protegerse con agentes de seguridad ni actualizarse o parchearse fácilmente. La falta de gestión de parches es una debilidad comúnmente explotada como método de ataque, según el Informe de Defensa Digital 2021 de Microsoft.

5. Los dispositivos médicos no incorporan controles de seguridad estrictos porque su diseño se basa en los resultados deseados y los requisitos normativos.

6. Tecnología heredada con riesgos de ciberseguridad: los dispositivos médicos suelen tener un ciclo de vida más largo que la tecnología de consumo. Debido a las restricciones de certificación de la agencia sanitaria estadounidense (FDA), los sistemas operativos y el software que se ejecutan en los dispositivos médicos pueden permanecer intactos y sin parches por temor a que queden inoperativos o afecten a la atención al paciente.

7. Los servidores gestionados por los proveedores impiden la visibilidad de los activos médicos – Los fabricantes de dispositivos médicos están adoptando nuevos enfoques mediante la creación de sus propias redes gestionadas, es decir, una parte aislada de las redes hospitalarias. Por ejemplo, un proveedor puede tener 30 monitores de pacientes detrás de una pasarela propia, creando diferentes capas de visibilidad.

8. Los escaneos y NAC no entienden el contexto – Los sistemas de escaneo de vulnerabilidades no proporcionan un monitoreo continuo y en tiempo real. Además, se basan en sistemas comunes de puntuación de vulnerabilidades (CVSS) y no pueden comprender el contexto. Otros métodos, como el control de acceso a la red (NAC), tampoco examinan el comportamiento de los dispositivos.

9. Los escaneos pueden interrumpir la atención – Los dispositivos médicos tienen diferentes niveles de sensibilidad, por lo que no se sabe cómo responderá un sistema específico a los sistemas de escaneo de vulnerabilidades.

10. Segmentación débil entre redes clínicas e informáticas – Una red hospitalaria típica está dividida entre los equipos de seguridad biomédica e informática, lo que crea silos. Las redes virtuales suelen mantener separadas ambas partes, pero no están diseñadas para garantizar la seguridad.