“No sabemos muy bien qué seguridad tienen todos los dispositivos del internet de las cosas que conectamos en casa”

Pregunta.- Tu proyecto Leonardo se centra en la ciberseguridad de los marcapasos y desfibriladores. ¿Cuáles son los retos principales en este campo?

Respuesta.- Alrededor del año 2010 surge la necesidad en el sector médico de incorporar conectividad inalámbrica al marcapasos. A medida que la población envejece, vamos más a los hospitales, y reducir estas visitas mediante un marcapasos que se pueda gestionar desde casa es positivo para la calidad de vida del paciente y también para la gestión hospitalaria.

Pero esto supone un cambio de paradigma, porque cuando el marcapasos no tenía conectividad al mundo exterior era un dispositivo bastante seguro. Sin embargo, cualquier dispositivo con conectividad inalámbrica necesita de mecanismos de seguridad. Esto constituye un reto, porque los mecanismos de seguridad requieren un cómputo dentro del dispositivo que disminuye la batería. No es lo mismo transmitir datos todo el rato que transmitirlos cifrados, lo segundo consume mucha más batería.

Es decir, nosotros tenemos que entender el contexto médico en el que se mueven los marcapasos para tratar de adaptar lo que ya conocemos sobre ciberseguridad a los dispositivos médicos. Un aspecto importante es la clave con la que ciframos los datos que se envían al marcapasos: ¿cómo compartimos esa clave? Imaginemos que la compartimos en el propio hospital donde se le ha implantado el dispositivo al paciente. Pero ahora supón que se muda a otro país, y tiene un problema cardíaco. Ahí entraría el modo de emergencia, en el que da igual la seguridad y lo importante es salvar la vida del paciente en ese momento. Pero eso plantea un problema bastante serio de cómo se accede a las claves y, por tanto, a los datos.

Otro problema con el que nos encontramos es que en el sector médico tradicionalmente no se han dado muchos problemas de ciberseguridad, sino que los fabricantes simplemente dicen que los dispositivos son seguros sin dar demasiados detalles acera de cómo funciona la seguridad del dispositivo. Aunque esta era la práctica común antiguamente, es la antítesis de cómo debería funcionar la seguridad ahora. Si tú no das detalles sobre tu dispositivo, yo me lo llevo al laboratorio, lo pongo debajo de un microscopio, saco perfectamente toda la circuitería y al final averiguo cómo funciona el dispositivo y sé qué vulnerabilidades tiene.

Entonces, yo creo que el gran reto que tiene el sector es esa opacidad, esa dificultad de acceder a la información para la gente que nos dedicamos a la ciberseguridad. Los fabricantes ni siquiera nos lo ponen fácil a los investigadores para adquirir uno de estos dispositivos. Tenemos que ir a través de los hospitales, que tienen muchísimos dispositivos de reemplazo —los que extraen de los pacientes cuando se les acaba la batería— pero tampoco nos permiten acceder a ellos.

P.- ¿Cuál fue tu aportación principal en el proyecto Leonardo?

R.- El primer estudio que se hizo de la ciberseguridad de los dispositivos médicos es de 2008, pero en 2018 todavía no había habido grandes avances. Entonces fue cuando decidí solicitar la Beca Leonardo para proponer una solución posible al asunto de compartir las claves de manera segura. Con mis colaboradores, utilizamos una aproximación que no es muy convencional, pero que creemos que tiene sentido.

Partimos de la base de que el marcapasos es un dispositivo que mide la señal cardíaca internamente, y la misma señal también se puede medir externamente. De manera muy resumida, propusimos que, si podemos demostrar que la señal que estoy midiendo externamente es la misma que el dispositivo está midiendo internamente, entonces el marcapasos nos da acceso para controlarlo.

Es decir, el marcapasos saca su clave de la señal interna y la usa para cifrar los datos que envía y recibe, y tú sacas tu clave de la señal externa y la usas para cifrar también. Si las dos claves son la misma, a partir de ahí utilizáis un protocolo clásico de autenticación, para verificar que tú eres la entidad que dices ser. Si no son la misma, no es posible establecer una clave y la comunicación falla.

Entonces, este sistema verifica que tú eres la entidad que dices ser, pero también que estás a una distancia que yo estimo que es mi zona de confianza. Eso es lo que mezcla nuestro protocolo, y es lo que propusimos en la Beca Leonardo. Las señales interna y externa no son iguales porque la interna se mide directamente con los cables pinchados al corazón y la externa se mide desde fuera del cuerpo, y en el camino puede pasar de todo. Pero nosotros propusimos una manera muy sencilla de comparar la señal de dentro con la de fuera de forma que, si verificas que son lo suficientemente parecidas, sabes que la persona de fuera está relativamente cerca del paciente.

P.- Si yo tuviera que ponerme un marcapasos mañana, ¿hasta qué punto debería estar preocupada por la seguridad del dispositivo?

R.- Cuando se produjeron los ataques mediante buscas y walkie talkies a Hezbolá, a mí me vinieron a la cabeza los marcapasos. También a los coches los estamos dotando de mucha conectividad y eso supone un problema que yo, como me dedico al mundo de la ciberseguridad, pienso que habría que solucionar. Pero, por otro lado, ¿yo me pondría un marcapasos con conectividad inalámbrica a día de hoy? Creo que la respuesta es sí.

Personalmente, mi opinión es que no va a haber un ataque masivo, por lo menos en los países que no son del Este. Incluso, si hay ataques y utilizan este tipo de tecnología, estarán dirigidos a una persona o a un grupo de personas en particular, pero es muy improbable que haya un ataque masivo a la población en general. Por eso creo que no hay que entrar en el alarmismo.

Ahora bien, hubo un vicepresidente de Estados Unidos que no se puso un marcapasos de nuevo generación, sino que se puso uno de los antiguos. A lo mejor en su caso tiene más sentido, porque es una persona con renombre que sí puede pensar que su seguridad física puede ser atentada.

Entonces, yo creo que no podemos pensar que vamos a ser objetivo de este tipo de ataques, pero también es verdad que los fabricantes tendrían que permitir que pudiéramos analizar la seguridad de los dispositivos. Eso es un problema no solo de los dispositivos médicos, sino también de la gran cantidad de dispositivos del internet de las cosas que conectamos en casa y que no sabemos muy bien qué seguridad tienen. No hay una regulación que diga que tal dispositivo tiene un nivel de seguridad de cinco, o cuatro, o tres. Y si no se exige por regulación, los fabricantes no lo hacen.

P.- ¿Por qué crees que no lo hacen?

R.- En el caso de los marcapasos, a mí me sorprende que la EDA, nuestra agencia de medicamentos europea, no sea tan exigente como es la FDA —su homóloga estadounidense—, porque la FDA sí ha tirado de las orejas a los fabricantes unas cuantas veces. A ellos les atañe porque va contra su reputación, si tienen que llamar a 40.000 personas para reprogramar un marcapasos inseguro.

Mientras los fabricantes no sientan la presión de la población, se sienten muy cómodos. En los años 80, la gente no sabía lo que tenía dentro, les daban la hoja del fabricante y les decían: “Es seguro”. Hoy, con los marcapasos, se está haciendo lo mismo.

Sin embargo, yo estoy en el mundo de la seguridad desde hace más de 25 años y veo que, si tú quieres diseñar algo seguro, publicas cómo funciona. Si resiste a toda la comunidad científica, tenemos la garantía de que eso va a ser seguro, quizá no de por vida, pero al menos durante una ventana de tiempo. Todos los algoritmos criptográficos sacan una competición. De ahí salen unos finalistas y se dedica todo el mundo a tratar de romper su seguridad. Después de unas cuantas rondas, el algoritmo que ha sobrevivido es el nuevo estándar. Y así, todo el mundo conoce la implementación: es el enfoque contrario a lo que ocurre en el sector médico.

P.- Ahora que prácticamente toda la población es usuaria de tecnología, ¿qué crees que tenemos que saber sobre ciberseguridad para vivir en el mundo moderno?

R.- Efectivamente, los usuarios somos el mayor problema de seguridad que tienen todas las empresas. Por un lado, hay que educar al usuario, porque la mayoría no sabe prácticamente nada. Eso está muy bien, es pasarle la pelota al usuario, pero también tiene que haber una regulación. Con los coches, los propios organismos a través del Euro NCAP te dicen que este tiene un nivel cinco de seguridad y este otro tiene un nivel uno, y a lo mejor no sé muy bien lo que significa aquello pero sí sé que hay una escala y sí sé por dónde estoy. Entonces, también sé que, si tengo un marcapasos, debería estar en los niveles más altos.

Concienciar al usuario está bien y resuelve parte del problema, pero no todo. Yo creo que el usuario es más responsable de sus acciones cuando se instala un software que, por ejemplo, cuando se compra una bombilla para instalarla en casa y se tiene que preguntar si le va a generar problemas. En el caso de las bombillas o, por ejemplo, los vigilabebés, el problema está en que no hay regulación. No tenemos ese semáforo que dice en qué escala de seguridad está el dispositivo, y por eso es complicado. Con los vigilabebés hay mucho debate y, de hecho, fabricantes conocidos han tenido grandes problemas de seguridad. Y el factor precio también es determinante a veces. Hay que ser realista.

Entonces, a nivel profesional las empresas tienen una gran tarea que es dotar de unos conocimientos de seguridad mínimos a todas las plantillas. Pero a nivel personal, tiene que entrar en juego una regulación que obligue a los fabricantes a decir en qué nivel de seguridad están sus aparatos para que la población pueda tomar mejores decisiones de compra sin necesidad de saber mucho sobre ciberseguridad.

Accede al archivo de Σ