Fallo en las bombas de fármacos permite enviar sobredosis a los pacientes del hospital

0

Problemas con bombas de fármacos en hospitales

Cuando el investigador de seguridad Billy Rios informó este mismo año de ciertas vulnerabilidades halladas en una bomba de infusión de fármacos, que permitirían que un hacker incrementase fatalmente la dósis prospectada al paciente, no obtuvo demasiado eco.

El hecho de alterar los límites máximos de suministro para un fármaco o droga podría provocar que esa persona reciba una dosis fatal del medicamento, algo que podría derivar en la muerte del paciente. Rios ha descubierto que existen vulnerabilidades más serias de las inicialmente pensadas sobre las bombas de suministro de fármacos.

Esta es la primera vez que constatamos la capacidad de alterar la dósis remotamente

 

Más fármacos de los recetados

Estas vulnerabilidades afectarían, al menos, a 5 modelos diferentes de bombas de suministro de fármacos, de la firma Hospira -una marca de Illinois con más de 400000 sistemas suministro de fármacos vendidas a nivel mundial.

Estos modelos vulnerables incluyen los siguientes:

  • PCA Lifecare 3
  • PCA Lifecare 5
  • Plum A+

Su línea de bombas de infusión denominada Symbiq -cuya venta cesó en 2013- también están afectados. Aunque dichas bombas de suministro de fármacos tenían otros problemas diferentes a los que aquí tratamos, motivo por el que fueron retirados.

Conexión de cable serie de una de las bombas afectadas

Conexión de cable serie de una de las bombas afectadas

En cuanto al modelo Plum A+, se trata de uno de los más vendidos por Hospira, con más de 325000 unidades suministradas a nivel mundial.

Vulnerabilidades comprobadas

Esto no es una suposición, ya que todos estos modelos han sido comprobados por los investigadores, que han constatado sus flaquezas. Hospira no ha respondido, hasta el momento, a estas informaciones.

Algunas de las vulnerabilidades en ciertos modelos se sustentan en la falta de autentificación para esots sistemas. Ciertas librerías -que controlan el suministro de fármacos a los pacientes- podrían ser modificadas para alterar sus límites por debajo y por encima de lo establecido.

Un hacker que se encontrase en un hospital -o cualquier paciente con un aparato con radio WIFI- podría, de hecho, acceder a las bombas de suministro y cargar una nueva librería de fármaco. Esto tendría consecuencias impredecibles.

Atacando el firmaware de las bombas de fármacos

Seguimos con el tema. Resulta que ahora, en base a informaciones recientes, los atacantes serían incluso capaces de alterar el firmware de las bombas de forma remora. Es decir, obtendrían el control total sobre las mismas.

Bomba Plum A+ afectada

Bomba Plum A+ afectada

¿Qué diferencia supone, teniendo en cuenta que ya podrían matar a alguien anteriormente? Pues un pequeño detalle: controlando la bomba en su totalidad podrían, además, realizar el ataque de forma totalmente silenciosa, mediante la modificación de los umbrales de fármacos permitidos como seguros.

El problema de las bombas Hospira

Reside, principalmente, en el módulo de comunicación utilizado en las bombas LifeCare y Plum A+. Los hospitales emplean estos módulos de comunicación para actualizar las librerías de control cuando es necesario. Pero estos mecanismos de comunicación son conectados mediante un cable Serie sobre un circuito impreso en cada bomba (el que contiene el firmware). 

Conexión serie de Bomba de fármacos Plum A+

Conexión serie de Bomba de fármacos Plum A+

Hospira es quien se encarga de comunicarse remotamente con las bombas para gestionarlas. Pero lo cierto es que un hacker también podría hacerlo.

Pero el problema quedaría medianamente acotado de no ser por otro fallo presente: las bombas de Hospira aceptan cualquier tipo de actualización de firmware, sin importar si llega firmada digitalmente o no.

La sangre aún no ha llegado al río, pero…

Comprometer la comunicación con una bomba y su cable serie no quiere decir que, de forma instantánea, se comprometa el dispositivo. Un atacante necesitaría saber como llevar a cabo la actualización del firmware. ¿Pero acaso no son los hackers especialistas en enterarse de estas cosas?

¿Qué te ha parecido la noticia?

  • User Ratings (2 Votes)
    9.6
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR