Las botnets son una seria amenaza para los servicios de salud. Conforme se incrementa el número de dispositivos conectados a la Internet de las Cosas Médicas (IoMT), existen más incentivos para que ataquen los hackers.
Una botnet se compone de una red de dispositivos infectados, los cuales son denominados bots (robot network). El tipo de aparatos afectados no se limita a las computadoras, sino que cualquier equipo conectado a la Internet es un potencial blanco. En otras palabras, lo mismo pueden ser afectados un refrigerador que una cámara de circuito cerrado, un televisor, un teléfono inteligente o un reproductor de audio.
Las primeras botnets surgieron hace más o menos dos décadas, de acuerdo con un análisis publicado por IBM. Originalmente, tenían una arquitectura de cliente-servidor. Ahora, con mayor frecuencia, utilizan una arquitectura peer-to-peer (P2P), lo cual dificulta desmantelar la red.
Por supuesto, los dispositivos que integran la IoMT son un objetivo muy apetecible para los piratas informáticos. Esto se debe, por una parte, a la naturaleza de la información personal que procesan y, por otra, a que el daño causado puede ser muy grande, lo cual multiplica el potencial beneficio de los delincuentes. Además, muchos de dichos aparatos no fueron diseñados con la seguridad de la información en mente. Es decir, carecen de carecen de instancias intrínsecas de seguridad. Para empeorar el panorama, muchos de ellos no son susceptibles de recibir actualizaciones de seguridad.
Botnets vs servicios de salud
Todas la infecciones de esta clase comienzan con un algún tipo de malware, generalmente un Troyano o un gusano. Para propagarse suelen usar ataques de fuerza bruta dirigidos a puertos protegidos por credenciales débiles o bien, utilizan alguna debilidad (exploit) como EternalBlue.
En otras ocasiones, se instala con la participación involuntaria del usuario, mediante el correo electrónico. En este caso, descargar o abrir archivos adjuntos suelen dar paso a la infección. Una manera más de infectar los equipos consiste en inducir al usuario a hacer clic en alguna liga que conduce al malware, el cual, una vez que se instaló, procede a descargar el programa que convierte en bot al dispositivo.
Los aparatos infectados son controlados por uno o varios hackers denominados bot masters o bot herders. Lo hacen mediante el un protocolo de “Comando y Control” (C&C) que implementan de manera remota.
La afectación de un equipo no siempre es aparente de modo inmediato, aunque el bot master lo utilice para ejecutar tareas encubiertas, como esparcir spam, realizar criptominería o participar en ataques de denegación de servicio (DDoS). De hecho, es muy común que el usuario legítimo no se percate de la situación, lo que ha llevado a comparar metafóricamente a esos equipos con zombies.
Dos de las botnets que más afectan a los servicios de salud son:
● Gh0st Rat: mediante una herramienta de administración remota (RAT), puede tomar control completo de la máquina infectada y registrar y transmitir la información introducida mediante el teclado, la cámara o el micrófono, entre otras cosas.
● Bladabindi: también conocido como njRAT, tiene características similares al anterior, con la añadidura de que puede robar credenciales almacenadas, como los nombres de usuario y las contraseñas. Además de la Internet, usa memorias USB para propagarse.
Buenas prácticas
Si bien todos los dispositivos de la IoMT son susceptibles de ataque, los preferidos por los hackers se concentran en los monitores remotos, termómetros y sensores de temperatura, bombas de insulina y de infusión y plumas inteligentes. Su atractivo reside en la información personal que recolectan: además de los datos almacenados en el dispositivo mismo, pueden ser utilizados como punto de entrada para accede al sistema de expedientes clínicos electrónicos (ECE) y de ahí propagarse a toda la red de la clínica u hospital.
Como siempre que se trata de ciberseguridad, es esencial entrenar adecuadamente al personal para que sigan las medidas adecuadas. En particular, evitar que una red sea infectada y convertida en parte de una botnet incluye:
● Actualizar el sistema operativo y todo el software de manera regular.
● Usar passwords robustos. Un buen gestor de contraseñas puede facilitar la tarea.
● Utilizar software de seguridad confiable.
● Monitorear las redes de manera regular para identificar cualquier cambio sospechoso en el tráfico de información.