Bombas de insulina Medtronic expuestas a ciberataques; devuelva estos dispositivos al fabricante

El fabricante de dispositivos médicos Medtronic está en proceso de retirar del mercado los controles remotos para bombas de insulina MiniMed Paradigm debido al hallazgo de severas vulnerabilidades de seguridad. Los clientes deberán devolver al proveedor los controladores MMT-500 y MMT-503, empleados por las bombas de insulina Medtronic MediMed 508 y MiniMed Paradigm.

Esta no será tarea fácil para la compañía, ya que la familia de productos afectados fue lanzada al mercado en agosto de 1999, por lo que se cree hay alrededor de 31 mil unidades vulnerables solo en Estados Unidos.

Mientras que las bombas se utilizan para administrar insulina a los usuarios diabéticos, el control remoto ayuda a controlar el dispositivo de forma inalámbrica y a suministrar, interrumpir o modificar la dosis requerida, haciendo las cosas más fáciles para el paciente.

Sobre las fallas de seguridad, expertos mencionan que usuarios no autorizados podrían interceptar y reproducir la señal inalámbrica enviada por el control remoto, lo que les permitiría enviar comandos arbitrarios directamente al dispositivo afectado y poner en riesgo la integridad física de un usuario.

En otras palabras, un atacante podría incrementar deliberadamente la dosis de un paciente o bien interrumpir el suministro de insulina. Al consultar a médicos sobre el tema, todos acordaron en que esta alteración podría conducir a escenarios de hipoglucemia o cetoacidosis, lo que podría ser mortal para un paciente con diabetes severa.

Las consecuencias de un ataque podrían ser desastrosas, aunque la buena noticia es que hasta el momento no se han detectado casos de explotación en escenarios reales. Aún así, Medtronic recomienda a los pacientes y profesionales de la salud dejar de emplear estos dispositivos de inmediato y remitirlos al fabricante lo antes posible para evitar su uso activo; la compañía emitió una guía para completar este proceso.

Esta no es la primera ocasión que se presenta un problema similar para Medtronic. En 2019, la Administración de Medicamentos y Alimentos de E.U. (FDA) emitió una alerta sobre algunas fallas en las bombas de insulina MiniMed 508, ya que estos dispositivos se veían expuestos a múltiples variantes de hacking.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).