Jean Belmont Blog |
| La internet de las cosas del corazón: ¿es posible ‘hackear’ un marcapasos? Posted: 28 Mar 2016 07:15 AM PDT
En el ámbito de la medicina, la internet de las cosas no solo está presente en las pulseras, relojes inteligentes y demás 'wearables' que se han popularizado en los últimos años, sino que ha llegado a otro tipo de dispositivos bastante más sofisticados. Muchos marcapasos ya disponen de conexiones que les permiten intercambiar información con los servidores de sus distribuidores, así como con los equipos de hospitales y médicos. Aunque no siempre esté activa, esta funcionalidad sirve para configurar y ajustar los parámetros de los aparatos y para monitorizar su actividad de forma remota y transmitir datos de su portador. La conexión tiene sus beneficios, especialmente para los pacientes que necesiten chequeos constantes y un control exhaustivo de su estado de salud. Sin embargo, como ocurre con cualquier otra máquina conectada, también plantea dudas acerca de su seguridad. Aunque algunos investigadores y 'hackers' han comenzado a trabajar en este campo y a buscar posibles vulnerabilidades, no lo tienen nada fácil. Los fabricantes no quieren dar detalles sobre el diseño ni sobre las especificaciones del 'software' que ejecutan. Pero los estudios ya han dado sus frutos. Un equipo de investigadores del Centro Arquímedes para la Seguridad de Dispositivos Médicos de la Universidad de Michigan (Estados Unidos) confirmó en 2008 que los marcapasos pueden 'hackearse'. Demostró que es posible extraer información personal de los aparatos o incluso modificar su configuración, poniendo en riesgo la vida del paciente. Sin embargo, en aquella primera aproximación, los expertos necesitaban encontrarse suficientemente cerca del portador del dispositivo. El obstáculo se sorteó más tarde, en 2013, cuando otro investigador en seguridad afirmó haber superado la barrera de la distancia. El 'hacker' Barnaby Jack iba a explicar en el congreso Blackhat de aquel año cómo puede controlarse un marcapasos gracias a su sistema de comunicación inalámbrica desde unos 15 metros. Desgraciadamente, falleció solo unos días antes, dejando en vilo a asistentes y curiosos y alimentando una teoría de la conspiración que pronto quedó desacredita. Lo que tampoco se ha demostrado todavía es si es posible controlar los marcapasos a través de una conexión a internet como las que utilizan ordenadores y móviles. Todavía no existe una investigación publicada que lo confirme o desmienta.
Recientemente, la experta en seguridad Marie Moe se ha embarcado en un nuevo proyecto para analizar los riesgos y puntos débiles de estos dispositivos con la ayuda de otros colegas del sector. A Moe le afecta directamente la cuestión, puesto que ella misma lleva uno implantado en su cuerpo. Su objetivo es poner de manifiesto que la seguridad por ocultación, impuesta por las empresas que desarrollan los dispositivos y poseen los derechos del 'software' y 'hardware', no es ninguna garantía de que los productos sean seguros para los pacientes. La FDA ya alertó sobre las vulnerabilidades encontradas en las bombas para inyección de medicamentos. Los agujeros permitían actualizaciones de 'firmware' no autorizadas, que podían usarse para configurar dosis letales de las drogas. Como en este caso, la existencia de dudas, según Moe, justifica las investigaciones. Sus hallazgos servirían para prevenir futuros ataques y permitir a los fabricantes arreglar los posibles errores de seguridad de sus dispositivos. Ningún fallo puede permitirse en una máquina que ayuda al corazón de una persona a latir y que, por tanto, es crucial para la vida de su dueño.
puedes ver la publicación original aquí             |
| Un ciberdelincuente solo necesita unos segundos para ‘hackear’ tu móvil Android Posted: 28 Mar 2016 04:45 AM PDT La palabra que metió el miedo en el cuerpo a todos los usuarios del sistema operativo de Google el verano pasado vuelve a pronunciarse con fuerza. Stagefright regresa, tanto o más peligroso en su nueva encarnación, que ha sido bautizada por sus descubridores como Metaphor. La nueva técnica para aprovechar la tristemente célebre serie de vulnerabilidades que sufre Stagefright (en realidad el nombre de una librería multimedia de Android, aunque el término se haya popularizado por culpa de sus agujeros) afecta potencialmente a cientos de miles de dispositivos, en concreto los que emplean las versiones 5.0 – 5.1 (unos 235 millones, el 23,5 % del total) o alguna entre la 2.2 y la 4.0 (terminales antiguos que ya eran inseguros por su exposición a otras amenazas). Sorprende la aparición del nuevo ‘exploit’ porque las correcciones y medidas de seguridad implementadas por Google tras el hallazgo de los fallos en su librería, supuestamente, habían hecho de Stagefright un conjunto de vulnerabilidades difíciles de aprovechar para un ataque real. En concreto, Metaphor es capaz de esquivar el ASLR, un mecanismo de protección adicional que se añadió a las versiones más modernas de Android, aquellas que llegaron a beneficiarse de los parches y actualizaciones. De ahí que con el nuevo método de ataque, como sus propios creadores han demostrado, se puedan controlar dispositivos tan modernos y dispares como un Nexus 5, un Samsung Galaxy S5, un LG G3 o un HTC One.
Prácticamente no hace falta intervención del usuario del ‘smartphone’. El atacante solo debe conseguir que acceda a una determinada página web (de aspecto inofensivo), por ejemplo a través de un enlace recibido por correo electrónico. En la prueba de concepto, un email que promete fotos de gatitos conduce a la víctima a una página que, efectivamente, contiene ese material. El destinatario no tiene forma de saber que está siendo atacado. En cuestión de 10 o 15 segundos, el ciberdelincuente se puede hacer con el control del terminal de su víctima. Todo gracias a un archivo de vídeo malicioso, que se ejecuta en la inocente web de gatitos sin que el visitante se percate, diseñado para aprovechar una de las vulnerabilidades de Stagefright. La estrategia de Metaphor no es totalmente novedosa. En buena medida se basa en los ataques que se publicaron el pasado año, cuando los agujeros fueron descubiertos. Sin embargo, su peligrosidad reside en la capacidad de sortear ASLR, la barrera que Google levantó en todas las versiones de Android a partir de la 4.1 (aunque no todos los fabricantes han distribuido el parche entre sus usuarios). Por esta y otras razones, la nueva amenaza no solo compromete a los dispositivos más antiguos, sino también a los modernos. Ni siquiera están a salvo los que tienen Lollipop 5.1, que aproximadamente representan el 19 % de todos los ‘smartphones’ con Android. En todo caso, la mejor forma de protegerse de este y otros riesgos vinculados con Stagefright es mantener el sistema operativo tan actualizado como sea posible y con un buen antivirus instalado. Si tu teléfono se ha quedado fuera de los planes de actualización del fabricante, extrema las precauciones: no deberías navegar por páginas salvo que sean de total confianza. Ni siquiera las que prometen adorables fotos de gatitos. puedes ver la publicación original aquí       |
| You are subscribed to email updates from a feed. To stop receiving these emails, you may unsubscribe now. | Email delivery powered by Google |
| Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States | |
No hay comentarios:
Publicar un comentario