La ficción siempre suele ir muchos pasos por delante de la realidad en lo que se refiere a tecnología, incluso en las historias que aspiran a ser lo más realista posible. Sin embargo, en ocasiones plantean escenarios que despiertan nuestras alarmas y que llevan a preguntarnos si lo que se cuenta no solo es verosímil, sino también real.
Uno de los ejemplos más claros es el de CSI y sus ampliaciones imposibles de imágenes: alguien con pocos conocimientos puede pensar que es real. Pero más inquietante es el caso presentado en uno de los capítulos de la serie «Homeland», donde unos terroristas islámicos hackearon el marcapasos del vicepresidente de Estados Unidos. Igual que en el caso de CSI, es verosímil. Pero ¿puede llevarse a cabo en la realidad?
Pues resulta que la respuesta es «Sí», pero con matices muy importantes: se trata de una posibilidad que, por ahora, es remota, pero que debe tenerse en cuenta de cara a tomar las medidas de seguridad oportuna para proteger a los pacientes que tengan implantado un dispositivo cardíaco.
Así lo expresó el Dr. Dhanunjaya Lakkireddy, director del Centro para la Excelencia en Fibrilación Auricular y Arritmias Complejas del Centro Médico de la Universidad de Kansas: «Tenemos que pensar en estas posibilidades con anticipación. Necesitamos estar un par de pasos por delante de los hackers. Necesitamos pensar en redes de seguridad en el diseño del hardware, software y programación de estos dispositivos».
Ahora bien, según él mismo explica, en la actualidad es muy poco probable que un hacker pueda alterar la programación de un desfibrilador cardioversor implantable o IDC por sus siglas en inglés: «Después de revisar la literatura y hablar con la gente de la industria, sus ingenieros y la gente del sector cibernético, nuestra opinión final es que se trata de un riesgo teórico que se ha exagerado».
Los ICD se encargan de monitorizar la frecuencia cardíaca del portador para que, si se vuelve errática, proporcionar una ligera corriente eléctrica que restaure el ritmo normal. Muchos de los ICD que se utilizan en la actualidad se programan de forma inalámbrica en el consultorio médico y luego transmiten datos en tiempo real que los cardiólogos pueden utilizar para realizar un seguimiento de la salud del paciente.
¿Qué podría hacer un hacker a dispositivo cardíaco y cómo?
En el hipotético caso de que un hacker consiguiese acceder a un ICD, podría causar diversos daños. El más importante: hacer que el dispositivo administre descargas eléctricas inapropiadas, lo cual podría terminar siendo mortal. También podría alterar el funcionamiento del dispositivo de tal manera que se agotase su batería, poniendo en riesgo la vida del portador.
Por otro lado, un hacker podría interferir con la capacidad de los médicos de monitorizar los datos cardíacos o, simplemente, interceptarlos para hacer una copia de los mismos.
Sin embargo, son muchos los obstáculos que este hacker en cuestión tendría que superar para reprogramar de manera remota el implante.
Según explicó Lakkireddy, cada ICD envía y recibe la información en una frecuencia de radio única y solo puede reprogramarse con el software producido por el fabricante del dispositivo. Por lo tanto, el hacker primero debería saber de qué marca es el implante cardíaco y cuál es su frecuencia de radio. A partir de ahí, debería obtener el software para ese dispositivo y, dentro del alcance del ICD de la víctima, usarlo cerca de él sin que la persona sospeche.
Debido a las estrictas leyes que, al menos en Estados Unidos, protegen la información de los pacientes, es poco probable que alguien pueda reunir estos estos datos y lanzar un ataque de este tipo: «Cuando se amontonan todas estas piezas de información, las probabilidades siguen bajando drásticamente. No es plausible operacionalmente hablando».
Según el Dr. Gordon Tomaselli, jefe de cardiología de Johns Hopkins de Baltimore, no se puede modificar la programación del dispositivo de manera remota: «No puede ser hecho por alguien sentado en algún lugar de una computadora en su sótano, hackeando. Tendría que tener acceso al dispositivo».
Tomaselli está de acuerdo con Lakkireddy en que los pacientes de hoy no tienen nada que temer: «Si no se lo monitorea remotamente, es virtualmente inexistente. Si eres monitoreado remotamente, las posibilidades son muy, muy pequeñas».
Sin embargo, tanto Tomaselli como Lakkireddy creen que fabricantes y médicos deben mantenerse al tanto de la ciberseguridad de los dispositivos para garantizar que futuras modificaciones no dejen a los pacientes vulnerables a los ataques: «Hay cosas que vamos a tener que seguir haciendo para asegurarnos de que los pacientes permanezcan seguros. Esto no son sólo marcapasos y desfibriladores. Es virtualmente cualquier dispositivo médico que tenga un chip de computadora».
