El Departamento de Asuntos Internos de Estados Unidos alertó sobre una inusual falla en uno de los dispositivos que se utilizan como implantes en el corazón, el cual, según dicen, podría permitir a los atacantes tomar control remoto del desfibrilador o del marcapasos de una persona.

La información de esta falla de seguridad, identificada por investigadores de MedSec Holdings en reportes de meses anteriores, se hizo pública solo hasta que el fabricante, St. Jude Medical, realizó la corrección del software esta semana. MedSec es una compañía de investigación de ciberseguridad que se enfoca en la industria de la salud.

El aviso del gobierno dice que los parches de seguridad se entregarán de forma automática en los próximos meses a pacientes con un dispositivo transmisor en casa, siempre y cuando esté conectado a la red de la compañía. Estos transmisores envían datos hacia los profesionales de salud.

Los laboratorios Abbott de Saint Jude informaron en una publicación que no tenían conocimiento de decesos o daños a causa de este problema. La Administración de Fármacos y Alimentos de Estados Unidos (FDA) también dijo que no había evidencia de pacientes afectados.

La investigación a nivel federal sobre este problema comenzó en agosto. Justine Bone, CEO de MedSec, escribió en su cuenta de Twitter que las reparaciones de Saint Jude no corrigen todos los problemas en los dispositivos.

Estos aparatos tratan irregularidades riesgosas en el ritmo cardiaco que pueden causar fallas cardiacas o arritmias. Implantado bajo la piel del pecho, los dispositivos ajustan de forma electrónica los latidos del corazón y regresan al corazón a su estabilidad normal cuando se detectan cambios en la fuerza de los latidos.

El transmisor de la compañía Merlin@Home envía de forma electrónica detalles del funcionamiento del dispositivo a un sitio web donde el médico del paciente puede revisar la información. Pero ese dispositivo también puede ser alterado.

La investigación de la FDA aún se está realizando, dijo la vocera Amelia Stark. Su investigación confirmó las vulnerabilidades del transmisor, el cual podría ser atacado y utilizado para drenar la batería de un dispositivo, alterar la frecuencia de los latidos o administrar peligrosos choques hacia el corazón del paciente.

La corrección lanzada por St. Jude “se hace cargo de las vulnerabilidades que representan el mayor riesgo para los pacientes”, dijo Stark, también mencionó que la compañía trabaja en completar las soluciones rápidamente, cualquier nuevo dispositivo cardiaco que es ingresado a la FDA para revisión y que utilice el transmisor afectado no será aprobado sin la actualización del software.

St. Jude dará más detalles después de corregir el problema con Abbott. En eventos previos, la compañía ha negado las fallas encontradas en sus dispositivos que pudieran ser utilizadas y lanzó un juicio contra Muddy Waters LLC y MedSec, diciendo que habían manipulado los marcapasos con el fin de promover los descubrimientos de vulnerabilidades de la investigación.

Las revelaciones sobre la posibilidad que tienen los atacantes de obtener acceso remoto y afectar incluso la forma en que trabaja el corazón de un ser humano pone sobre la mesa los problemas de ciberseguridad en una red mundial en crecimiento. El aviso también remarca el dilema de seguridad de los investigadores que podrían sentir la obligación de informar al público sobre los posibles daños pero que no quieren causar pánico innecesario.

“El paciente promedio no va a ser atacado por asesinos”, declaró Matthew Green, un profesor asistente de ciencias de la computación en la Universidad Johns Hopkins. Fue contratado por Muddy Waters para ayudar a validar los hallazgos de MedSec después de que Saint Jude enviara a juicio. “Un ataque a este nivel es poco probable pero de mucho impacto”, incluso mencionó, “es probable que sea el de mayor impacto que yo haya visto”.

Green dijo que muchas de las vulnerabilidades más severas identificadas por MedSec para los dispositivos mismos no han sido corregidas, pero la nueva actualización podría hacer al sistema casero un tanto más seguro.