El Departamento de Seguridad Nacional (NHS) de E.U. ha lanzado una alerta de seguridad informática relacionada con algunas soluciones médicas desarrolladas por las compañías tecnológicas Philips y McKesson, tecnología vendida por la compañía Change Healthcare.
La alerta está relacionada con una vulnerabilidad en un sistema de análisis cardiovascular que permite a los cardiólogos recopilar datos desde múltiple fuentes para cada paciente, permitiendo a todo el personal médico acceder de forma fácil a esta información. La falla ha recibido un puntaje de 7.8/10 en la escala del Common Vulnerability Scoring System (CVSS), lo que la convierte en una falla de seriedad considerable.
Acorde a expertos en seguridad informática, la explotación de esta vulnerabilidad podía permitir a los hackers ejecutar código arbitrario, comprometiendo los sistemas de análisis usados por los cardiólogos, los hackers incluso podrían acceder a la información almacenada en estos sistemas o incluso alterar los resultados de un ultrasonido o un análisis cardiovascular.
Varias generaciones de sistemas informáticos de cardiología vendidos por McKesson y Change Healthcare podrían ser afectados por la vulnerabilidad. Las compañías están trabajando a marchas forzadas para abordar la vulnerabilidad, mientras tanto, los expertos aconsejan a los usuarios revisar a detalle las configuraciones de su firewall, además de inhabilitar las cuentas que no sean fundamentales para las operaciones de los centros hospitalarios.
Por otra parte, el DHS lanzó una segunda alerta de seguridad en referencia a una falla en los sistemas de ultrasonidos Philips HDI 4000, que ejecutan el sistema operativo Windows 2000 y otros más antiguos. De ser explotada, esta falla permitiría a los hackers con presencia en subredes locales acceder a las imágenes generadas por estos sistemas.
Una de las principales causas de este inconveniente es que Philips dejó de lanzar soporte para estos dispositivos hace casi seis años, por lo que la vulnerabilidad no será corregida. En su lugar, se recomienda a los usuarios de estos sistemas invertir en la actualización de sus equipos de ultrasonidos, que funcionen con un sistema operativo que aún reciba mantenimiento. En caso de que no sea posible comprar nuevo equipo, expertos en seguridad informática recomiendan a los hospitales restringir el acceso a estos sistemas en la medida de lo posible, eliminando las cuentas no utilizadas y actualizando las credenciales de acceso.
Esta es la tercera alerta de seguridad informática relacionada con sistemas médicos de Philips en este año; anteriormente, las fallas se relacionaban con el sistema Tasy Electronic Medical Record. Por otra parte, esta es la segunda ocasión que se notifica a Change Healthcare sobre errores de seguridad en sus productos.
Aunque no son el objetivo más común, especialistas en seguridad informática del Instituto Internacional de Seguridad Cibernética (IICS) afirman que la tendencia a buscar puntos débiles en la infraestructura tecnológica de los centros hospitalarios con fines maliciosos ha incrementado recientemente. Hace un par de semanas, trascendió la noticia sobre el ataque de ransomware contra un grupo hospitalario ubicado en Francia; como resultado del ataque, los sistemas de una clínica para más de cien pacientes colapsaron completamente, por lo que el personal administrativo y los profesionales de la medicina tuvieron que improvisar para mantener las operaciones a un nivel relativamente normal.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
