Según Kaspersky, encontraron que el protocolo más utilizado para la transmisión de datos desde dispositivos portátiles para el monitoreo remoto de pacientes contiene 33 vulnerabilidades, que también son 10 más graves que en 2020, y muchos otros problemas que siguen sin resolverse, advirtieron desde la firma rusa.
Se agregó que algunas de estas vulnerabilidades permiten a los atacantes interceptar datos enviados en línea desde el dispositivo.
Señaló que la pandemia ha llevado a una rápida digitalización del sector salud. Con los hospitales y el personal médico abrumados y muchas personas aisladas en sus hogares, las organizaciones se han visto obligadas a repensar cómo atienden a los pacientes.
La investigación de Kaspersky muestra que el 91% de los proveedores de atención médica en todo el mundo han implementado sus capacidades de telemedicina. Sin embargo, esta rápida digitalización ha creado riesgos de seguridad, especialmente cuando se trata de los datos de pacientes, afirmó el fabricante.
Parte de la telemedicina que incluye el seguimiento remoto de pacientes, que se realiza mediante los denominados wearables. Estos incluyen dispositivos que pueden monitorear de forma continua o periódica los indicadores de la salud de un paciente, como la actividad cardíaca.
Qué es el protocolo MQTT y para qué se usa
El protocolo MQTT es el protocolo más popular para transferir datos de sensores y dispositivos portátiles debido a su simplicidad y conveniencia.
Es por eso que se encuentra no solo en dispositivos portátiles, sino también en la mayoría de los dispositivos inteligentes. Desafortunadamente, cuando se usa MQTT, la autenticación es completamente opcional y rara vez incluye cifrado.
Por lo tanto, MQTT se vuelve vulnerable a los ataques Man in the Middle o MITM (donde los atacantes pueden meterse entre “dos partes” mientras se comunican), lo que significa que cualquier dato transmitido a través de Internet puede ser robado en dispositivos portátiles.
Dicha información puede incluir información altamente confidencial, datos médicos, información personal e incluso los movimientos bancarios de una persona, detalló la marca.
Los investigadores de Kaspersky dicen que han encontrado vulnerabilidades no solo en el protocolo MQTT, sino también en una de las plataformas más populares para dispositivos portátiles: la plataforma Qualcomm Snapdragon Wearable.
Se han descubierto más de 400 vulnerabilidades desde que se introdujo la plataforma y no todas han sido parcheadas, incluidas algunas que datan de 2020, mencionó la compañía.
Incluso señala que la mayoría de los dispositivos portátiles rastrean datos de salud, ubicación y movimiento. Según una advertencia de la empresa de ciberseguridad, esto abre la posibilidad no solo de robo de datos, sino también de posible acoso.
La jefa del Equipo ruso de investigación y análisis de Kaspersky, Maria Namestnikova, mencionó lo siguiente: “la pandemia ha provocado un fuerte crecimiento en el mercado de la telemedicina. Y esto no solo implica comunicarse con su médico a través de un software de vídeo.
Estamos hablando de toda una gama de tecnologías y productos complejos que evolucionan rápidamente. Incluso aplicaciones especializadas, dispositivos de uso corporal, sensores implantables y bases de datos establecidas en la nube.
Sin embargo, muchos hospitales todavía utilizan servicios de terceros que no han sido probados para almacenar datos de pacientes, por lo que las vulnerabilidades en sensores y dispositivos de uso corporal para la atención médica siguen abiertas. Antes de implementar dichos dispositivos, conozca todo lo que pueda sobre su nivel de seguridad para mantener seguros los datos de su empresa y de sus pacientes”, concluyó.
Cómo garantizar la seguridad de datos
- Minimizar los datos transmitidos por las aplicaciones de telemedicina, cuando sea posible (por ejemplo, no permitir que el dispositivo envíe datos de ubicación si no es necesario).
- Verificar la seguridad de una aplicación o dispositivo proporcionado por un hospital o una institución médica subvencionada.
- Usar una contraseña que no sea la predeterminada y use el cifrado si lo proporciona el dispositivo.