Las flotas de robots desplegadas en los hospitales de Estados Unidos quedaron expuestas a los hackers después de que los investigadores descubrieran cinco vulnerabilidades críticas de seguridad en su software.
Los investigadores de la empresa de ciberseguridad Cynerio encontraron los fallos, denominados JekyllBot:5, en los robots Tug construidos por el fabricante estadounidense Aethon. Las vulnerabilidades de día cero, llamadas así porque no había ninguna solución disponible cuando se descubrieron por primera vez, se comunicaron a Aethon, que diseñó y puso en marcha un parche para proteger los robots.
Las vulnerabilidades habrían permitido a los hackers enviar a los robots órdenes de control, tomar fotos y acceder a la base de datos de usuarios del sistema.
“Estas vulnerabilidades de día cero requerían un conjunto de habilidades muy bajo para su explotación, sin privilegios especiales y sin interacción del usuario para ser aprovechadas con éxito en un ataque”, dijo Asher Brass, jefe de análisis de redes cibernéticas en Cynerio.
“Si los atacantes fueron capaces de explotar JekyllBot:5. podrían haber tomado por completo el control del sistema, obtener acceso a los datos de las cámaras en tiempo real y de los dispositivos, y causar estragos y destrucción en los hospitales que utilizan los robots.”
Los robots Tug están diseñados para transportar medicamentos, ropa de cama y residuos por los hospitales y se han instalado en cientos de hospitales de todo Estados Unidos.
Capaces de transportar hasta 600 kg y de desplazarse a unos 3 km/h, Cynerio advirtió que cualquier hacker que explotara el fallo podría utilizarlos para “chocar con el personal, los visitantes y los equipos”.
Los robots Tug forman parte de una tendencia emergente de hospitales que emplean robots para realizar tareas cada vez más sofisticadas. Los investigadores advirtieron que el sector sanitario debería dar prioridad a la seguridad por encima de todo, debido a la sensibilidad tanto de los datos procesados como del entorno físico de los robots.
“Los hospitales necesitan soluciones que vayan más allá de la mera comprobación del inventario de dispositivos IoT (Internet de las cosas) sanitarios para mitigar los riesgos de forma proactiva y aplicar una solución inmediata a cualquier ataque o actividad maliciosa que se detecte”, afirmó el fundador de Cynerio, Leon Lerman.
“Cualquier cosa menos que eso es un flaco favor para los pacientes y los dispositivos de los que dependen para obtener resultados sanitarios óptimos”.
Comments