Un informe de Claroty revela lagunas de ciberseguridad en los dispositivos médicos conectados
Claroty ha presentado durante la conferencia anual HIMSS24 su nuevo informe 'State of CPS Security Report: Healthcare 2023', según el cual un 63% de las vulnerabilidades explotadas conocidas (KEVs) rastreadas por CISA afecta a las redes de organizaciones sanitarias. El estudio revela que el 23% de los dispositivos médicos —incluyendo dispositivos de imagen, dispositivos IoT clínicos y dispositivos quirúrgicos— tienen al menos una vulnerabilidad explotada.
En la primera edición centrada en el sector sanitario de este informe, Team82, el equipo de investigación de Claroty, analiza cómo la creciente integración de dispositivos médicos y sistemas de pacientes online incrementa la exposición y la explotación de vulnerabilidades existentes ante la creciente oleada de ciberataques dirigidos a las actividades hospitalarias. El objetivo de esta investigación es demostrar la amplia conectividad de los dispositivos médicos críticos —desde los sistemas de imagen hasta las bombas de infusión— y describir las implicaciones de su exposición en línea. Las vulnerabilidades y deficiencias de implementación aparecen con frecuencia en las investigaciones del Team82 y se puede trazar una línea directa con resultados potencialmente negativos para los pacientes en cada uno de estos casos.
Según el estudio, el 22% de los hospitales tiene dispositivos conectados que sirven de puente entre las redes de invitados —que proporcionan acceso WiFi a pacientes y visitantes— y las redes internas. Esto habilita un peligroso vector de ataque, ya que un atacante puede encontrar y apuntar rápidamente a los activos en la WiFi pública, y aprovechar ese acceso como un puente hacia las redes internas donde residen los dispositivos de atención al paciente. De hecho, la investigación del Team82 ha revelado que el 4% de los dispositivos quirúrgicos —equipos críticos que si fallan podrían impactar negativamente en la atención al paciente— tienen conectividad con redes de invitados.
El informe destaca que el 14% de los dispositivos médicos conectados funciona con sistemas operativos incompatibles o al final de su vida útil. De los dispositivos no compatibles, el 32% corresponde a dispositivos de imagen, incluidos sistemas de rayos X y resonancia magnética, que son vitales para el diagnóstico y el tratamiento prescriptivo, y el 7% hace referencia a los dispositivos quirúrgicos.
El estudio ha examinado los dispositivos con altas puntuaciones en el "Exploit Prediction Scoring System (EPSS)", que representa la probabilidad de que una vulnerabilidad de software sea explotada en una escala de 0-100. El análisis ha mostrado que el 11% de los dispositivos para pacientes, como las bombas de infusión, y el 10% de los dispositivos quirúrgicos contienen vulnerabilidades con puntuaciones EPSS elevadas. Profundizando más, al examinar los dispositivos con sistemas operativos no compatibles, el 85% de los dispositivos quirúrgicos de esa categoría tiene puntuaciones de EPSS elevadas.
Esta investigación también ha analizado qué dispositivos médicos son accesibles de forma remota y ha descubierto que aquellos con un alto impacto en caso de fallo, incluyendo desfibriladores, sistemas de cirugía robótica y puertas de enlace de desfibriladores, se encuentran entre este grupo. La investigación también ha desvelado que se puede acceder a distancia al 66% de los dispositivos de diagnóstico por imagen, el 54% de los dispositivos quirúrgicos y el 40% de los dispositivos para pacientes.
