Asegurate, Iforense, Seguridad Online

CASO MARCAPASOS: No existen sistemas los cuales estén libres de ataques, ya sea sistemas informáticos o sistemas mas complejos.

Con el transcurso de los años y el avanze de la tecnología en el sector médico, los marcapasos han sufrido distintos cambios para mejorar el control y la calidad que se le brinda al paciente. Claro esta que los cambios han traido mejoras , ya sea como el tamaño del dispositivo y talvez podría mencionarse como una debilidad la función de conexión a internet el cual podría

 Marcapasos inalambricos.

En la actualidad existen diferentes tipos de DAIC casi todos los fabricantes han introducido su propia versión de los sistemas de monitoreo a distancia, es así como Biotronik introdujo el sistemas BIOTRONIK Home Monitoring®, Medtronic® (CareLink® Network), Latitude® Patient Management system de Boston Scientific® San Paul USA, y Merlin.netTM de St Jude Medical, Sylmar USA.

Pero el problema que surge a flote es de la confiabilidad que han llegado a optar muchas empresas al conectar sus dispositivos (marcapasos) a la Internet. Esta salida de conexión a la internet se ha hecho con el fin de poder minimizar de cierta forma costos por parte del paciente, como tambien para llevar una gestion y administración del comportamiento del corazon a tiempo real  por parte del médico del paciente.

Proceso de monitoreo remoto y seguimiento del paciente con desfibrilidar automático – Marcapasos

El sistema BIOTRONIK Home Monitoring permite un monitoreo de los dispositivos cardiacos, y se encuentra integrado en los MP, TRC, DAI, TRC-D. Con este sistema se envía información por medio de telemetría, ya que la antena se encuentra en el cabezal del dispositivo, que es recibida por un transmisor conocido como CardioMessenger, el cual debe estar situado a una distancia de 20 cm a 2 m del paciente; en sí, es un teléfono móvil que transmite la información que recibe del dispositivo a un centro de análisis situado en Berlín, Alemania, a través de la red Global System for Mobile Communication (GSM), ahí se procesa la información y se manda al médico responsable o al centro hospitalario, vía Internet.

Los mensajes que se generan pueden ser de tres tipos: 

a). Mensajes periódicos, los cuales se transmiten diariamente a una hora prevista. 

b). Mensajes en forma de alerta, los cuales son activados por sucesos detectados en el dispositivo, quienes pueden sufrir fallos en la recepcion de programación ya que se encuentra fuera del rango permitido o eventos arrítmicos, con lo que se emitirá un mensaje que se enviará siempre y cuando el paciente se encuentre dentro del área de recepción del CardioMessenger; de existir algún inconveniente en la recepción, con estar cerca de la zona de transmisión se activa su buen funcionamiento.

 c). Mensaje activado por el paciente al aplicar un imán sobre el dispositivo.

Nota : Determinados dispositivos permiten enviar un electrograma intracavitario (EGM) durante un suceso o algún electrograma periódico, esto gracias al nuevo CardioMessenger II.

Electrograma (EGM) intracavitario  :  Es el registro de la señal eléctrica intracardiaca. Es una representación de los que realmente detecta el marcapasos y por tanto toda la respuesta de éste vendra marcado por dicha señal. Es una herramienta muy útil en la consulta de seguimiento de Marcapasos, tanto en la ejecución de los test de detección y captura. Asi mismo, su interpretación nos ayuda a detectar y analizar situcaicones complejas. Los marcapasos de útlima generación incorporan tecnología basada en el dispositivo anitaquicardia, permitiendo almacenar EGM intercavitarios los cuales son diagnosticos de gran ayuda en la valoració clínica del paciente.




El CardioMessenger II puede de cierta forma transmitir esta información, la cual es muy delicada e importante para el seguimiento de los pacientes ya que permite optimizar la programación de los parámetros del marcapasos.

Después de implantar los dispositivos, se habilitó el sistema BIOTRONIK Home Monitoring, con una hora fija de transmisión para todos los pacientes, que fue a las seis de la mañana; al mismo tiempo que se instruyó acerca de su funcionamiento tanto al paciente como a un familiar. La transmisión de los informes se programó diariamente y se optó por enviar las alertas por correo electrónico para visualizarlas en una página web, para asi poder analizar la información en forma detallada.

Aqui podemos visualizar el estado de cada paciente, de acuerdo con la semaforización; en este caso se observa un estado amarillo para su revisión, al mismo tiempo que existe el informe del evento y el tipo de dispositivo implantado.

Nota importante : Podemos observar como cada dispositivo tiene un identificador por cada paciente, este identificador podría ser muy importante ya que como atacante podriamos obtener los privilegios para poder tener acceso a dicha información y utilizarla al momento de querer ejecutar un ataque especifico bajo las condiciones en la cual se encuentra un paciente. Los identificadores o numeros de serie de cada dispositivo van a cierta forma clasificar los objetivos.

Explotando vulnerabilidades 

Bueno ya llegando a este punto y con el todo el conocimiento previo acerca de como funciona un marcapaso y el rol muy importante entorno a la dirección del trafico de información vital para el usuario del dispositivo. A continuación vamos a intentar simular un posible ataque al dispositivo en cuestión.

El objetivo del ataque va ser el de reprogramar las intrucciones que el dispositivo ha heredado basado en el estado del paciente y tambien de poder capturar el tráfico que envia un segundo dispositivo hacia un punto lejano del paciente X.

Escenario de ataque

Como se ha mencionado anteriormente, los marcapasos son programados desde un inicio, y cuyos parametros son ingresados deacuerdo al estado del paciente (situación del corazón). Es decir el dispositivo se ejecuta con normalmente validando cada pequeño impulso eléctrico por una pequeña reacción extraña por parte de alguna sección del corazón.

Detección de dispotivos alternos.

El CardioMessenger es el dispositivo que entra en contacto directo con el marcapasos, dicho contacto se establece por un medio inalámbrico. Ambos dispositivos deben distanciarse de 20cm a 2 metros como maximo para que haber un libre transito de información.

Ataque del medio Marcapaso – CardioMessenger.

La función del CardioMessenger (General) es la de monitorear todas las actividades que ha realizado el marcapasos y segun sea su progamación puede diseñar reportes muy detallados (EGM), los cuales seran enviados desde el dispositivo hacia la Central de Servicio, de los cuales será redirigido hacia el medico que ha hecho la consulta.

 Ingeniería Inversa.

Mediante este método vamos a poder capturar el trafico que se transmite entre el marcapasos y CardioMessenger.

  1. Para poder realizar dicho atque vamos a tener que trabajr en la capa nivel física y es necesario disponer de algunas deficiones e intrumentos.

 

  • Transmisión de Radiofrecuencia (RF) alrededor de 175kHz.
  • Modulación 2-FSK.

Modulación FSK : Es  una técnica de transisión digital de información binaria (ceros y unos) utilizando dos frecuencias diferentes. La señal moduladora solo varía entre dos valores de tensión discretos formando un tren de pulsos donde un 1 representa un “1” o “marca” y el otro representa el “0” o “espacio”. Mientras que la portadora es ua señal sinusoidal.

Nota : Recomiendo leer mas sobre Modulación FSK.

  • Modulación DBPSK : Es una forma de modulación digital, donde la información binaria de la entrada está compuesta en la diferencia entre las fases de dos elementos sucesivos de señalización, y no en la fase absoluta. La implementación del receptor es económica, por lo que es de amplio uso en comunicaciones inalámbricas. En los sistemas DPSK, el flujo digital de entrada es codificado de forma diferencial y luego es modulado mediante la PSK binaria.

 

Nota : Recomiendo leer mas sobre Modulación DPSK y Receptor DPSK .

  • Usaremos decodificadores conocidos para textos planos. No retormar ceros invertidos con el relleno de bits.

 

 

  • Dispositivo de comunicación

1-  Campo magnético introducido.
2.- Cardioversor Desfibrilador Implantable (ICD).
3.- Cardioversor Desfibrilador Implantable (ICD Programador)


Nota : Un ataque para poder capturar la información saliente del dispositivo CardioMessenger, sería un ataque mas complejo y estratégico, ya sea por la red que utiliza para el envio de la información – Global System for Mobile Communication (GSM).

Captura de la Información 

Ataque en modo Pasivo.


Como sabemos la información que se viaja por un medio inalámbrico suele ser un medio muy inestable (distancia) e inseguro. Por ende la captura de información va ser totalmente posible ya sea por diversas tecnicas. 

Como resultado del ataque ejecutado vamos a comenzar a disponer de la información. 




La información que vamos a recibir va a depender de la programación a la cual fue ejercido el dispositivo.

Olfateando las signos vitales.


Ataque en modo Activo.

1.- Ataques Replay : Es una forma de ataque de red, en el cual una transmisión de datos válida es maliciosa o fraudulentamente repetida. Es llevada a cabo por el autor o por un adversario que intercepta la información y la retransmite, posiblemente como parte de un ataque enmascarado.

  • Retransmisión de las huellas registradas.

 

2.- Solicitud de ICD y los datos del paciente.

3.- Drenaje de energía.

  • Activar constantemente el ICD para consumo de energía.

 

4.- Cambiar configuración de dispositivos.

  • Cambiar configuración de la CIE, por ejemplo, fecha.
  • Cambio del Paciente/Configuración de Terapia

 

 

  • Inducir una descarga eléctrica usando el modo de auricular-test.

 

Despues de toda la explicación detallada del funcionamiento del marcapasos, podemos deducir que una pequeña variación en la programación o ocasionar una pequeña modificación en la intencidad del impulso electrico, inclusive si hacemos hacemos que el dispositivo cree reacciones que no son compatibles con el estado del corazón.

Las consecuencias de este tipo de ataques podría se fatal para el portador del dispositivo.

Seguridad y Privacidad

1.- Uno de los puntos a tomar fundamentalmente es el de la Autorización.

  • Autorización personalizada : Tener acceso a la información del dispositivo en presencia física del portador.
  • Autorización basada en roles.
  • Prevenir el mal uso accidental o intencional : Contactar con el paciente inmediatamente sea el caso de un posible fallo o ataque al dispositivo.
  • Disponer de sistemas criptográficos para aumentar la seguridad y disponer de respaldo de otros medios ya sea situaciones de emergencia.

Ampliando el rango de ataques. 


Con las nuevas tecnologías de hoy, en la cual un movil hoy, es practicamente lo que hace algunos años era una computadora portatil. Este avanze nos trae libertad a ejercer ataques de una forma mas activa y menos sospechoso sea el caso.

Tras las conferencias de seguridad que se han hecho alrededor del mundo y en la cual muchos sistemas han sido vulnerados con solo un movil y aplicaciones.

Para nuestro post y poder de cierta forma ampliar la distancia de ataque seria utilizando o disponer de una antena direccional la cual mejorará la intensidad de la señal de su router inalámbrico (Celular ) y la calidad para aumentar la cobertura inalámbrica.

Conclusiones : 

1.-  No existen sistemas libres los cuales esten libres de ataques, ya sea sistemas informáticos o sistemas mas complejos.

2.-  Se detallo los tipos de marcapasos, por el hecho de que para poder realizar un ataque cuya efectividad sea 100% , es necesario tener todo la información posible del objetivo, mientras mas información detallada se disponga, vamos a poder decidir que tipo de modificaciones se puedan efectuar con el fin de que que no existe incertidumbre de error a la hora de ejecutarlo.

3.-  El de disponer información sensible puede conllevar a acontecimientos no agradables para un ente.