Pablo Iglesias analiza el lado inexplorado de la eHealth.
En más de una ocasión hemos hablado acerca del futuro de la medicina, que pasa por el eHealth (ES), por la sencilla razón de que consta de capacidades tan interesantes como la inclusión del «Yo Cuantificado» o la ruptura del espacio como elemento restrictivo, con la llegada de las teleconsultas y el tráfico de información inmediato por la red.
Y un servidor es partidario de todas estas ventajas, pero también creo oportuno señalar que, como ya ha ocurrido con otras disciplinas aún en auge, se tiende a evolucionar el concepto obviando una parte de él tan necesaria como es la seguridad, máxime cuando hablamos de dispositivos cuyo uso en algunos casos es crítico (marcapasos, glucómetros…).
En esta entrada no vamos a hablar de hipotéticos ataques masivos de malware que acaban con la vida de miles de personas, sino de cómo la eHealth ofrece un discurso negativo en tanto toda esa información viaja por la red sin seguir en muchos casos protocolos básicos de seguridad, y contiene en su esencia datos personales tan accesibles como potencialmente peligrosos, de cara a ataques sofisticados que ya no solo involucren nuestro dinero, sino la propia identidad que nos ha sido otorgada biológicamente.
La Administración de Alimentos y Medicamentos (FDA) publicaba hace escasos días un estudio (EN) donde ponía en entredicho la seguridad de 300 de los dispositivos más usados en medicina en la actualidad, pertenecientes a más de 40 compañías diferentes, y que tienen en su haber vulnerabilidades que podrían ser aprovechadas por un atacante.
El Equipo de Respuesta de los Sistemas de Control Industrial ICS-CERT (EN) iba un poco más allá, dando algunas pautas para normalizar el desarrollo de estas tecnologías y evitar así los exploits que amenazan la integridad de las personas que los usan.
ICS-CERT y FDA no tienen consciencia de que esta vulnerabilidad haya sido explotada ni de que algún paciente haya sufrido daños por este tipo de vulnerabilidades
Lo cual no quiere decir que el peligro no sea real. Y no hay más que ver la prueba de concepto que presentó el investigador Barnaby Jack, que conseguía sobrescribir el firmware de un modelo de marcapasos, permitiéndole realizar descargas eléctricas de 830 voltios en un radio de 9 metros, lo que en la práctica causaría la muerte de todos los usuarios de dicho dispositivo eHealth que estuvieran en la cercanía.
Entre las medidas de mitigación de daño expuestas por el ICS-CERT, quería resaltar las siguientes:
- El acceso a dispositivos y red hospitalaria únicamente a personal autorizado: Mi madre trabaja en un hospital, y es lamentable que desde un ordenador cualquiera conectado a la red se tenga acceso a todo el historial, ya no digamos a los almacenes de material. Desarrollar entornos seguros mediante software específico según el usuario es cada vez más una obligación que una alternativa.
- La actualización de firmware firmado: Otro de los aspectos en los que tiende a pecarse en eHealth. Un producto funciona a las mil maravillas, para qué vamos a actualizarlo. El fabricante debería no solo desarrollar el dispositivo, sino ofrecer actualizaciones continuas que parcheen posibles vulnerabilidades en los mismos, y ofrecerlas de la forma más sencilla al cliente (a poder ser mediante actualización inmediata y transparente al usuario).
- Dispositivos y tecnologías capadas de funciones críticas: La programación modular permite generar permisos que sean accesibles al usuario (o el atacante) y otras que no lo sean (al menos a priori). En este segundo grupo, deberían considerarse aquellos elementos críticos del sistema que harían peligrar el buen quehacer de la tecnología eHealth.
- Cuando todo falla, un plan alternativo: Si algo puede estropearse, ten claro que tarde o temprano ocurrirá. Para cuando esto ocurra, es importante tener planes de contingencia y sistemas auxiliares que eviten males mayores, mientras podemos restaurar el funcionamiento correcto de la tecnología.
Por supuesto, y como ya he dejado claro al principio del artículo, con la evolución del eHealth ganamos mucho más de lo que perdemos, y para muestra, esa nueva tendencia hacia el biohacking ético (ES) y el aumento de la esperanza de vida. Pero una casa no se empieza por el tejado, y si partimos de una base robusta, el futuro será aún más prometedor.