En septiembre de 2022, la FDA (Administración de Estados Unidos para el control y la seguridad de los alimentos y medicamentos) lanzó la voz de alarma. Algunos modelos de bomba de insulina que utilizan los diabéticos para controlar su medicación podrían ser atacados por piratas informáticos con capacidad de acceder en remoto a su funcionamiento. La noticia alentó ciertas especulaciones sobre la posibilidad de que un atacante pudiera manipular desde la distancia el suministro de medicamento de un paciente para matarle. Tras aquella alerta, varias investigaciones trataron de esclarecer hasta qué punto los dispositivos médicos son vulnerables, entre ellos, los marcapasos o desfibriladores individuales controlados inalámbricamente. De hecho, el mismísimo vicepresidente de Estados Unidos, Dick Cheney, que portaba uno de estos aparatos minúsculos que controlan la función cardiaca, tuvo que someterse a una intervención para sustituir su dispositivo por uno más moderno y seguro ante el temor de que un terrorista pudiera usarlo para asesinarle a distancia.
La reacción de la FDA, la intervención de Cheney y la cantidad de noticias al respecto de las posibles brechas de seguridad de estos aparatos responden a un caso real. En 2011, en el transcurso de una conferencia dedicada a ciberseguridad, un «hacker» conocido como Jay Radcliffe demostró que era capaz de manipular una bomba de insulina a distancia para infundir más cantidades de medicamento de las programadas por el usuario. Hay que recordar que una sobredosis de insulina sin tratar a tiempo es mortal.
La mayoría de los expertos reconoce que la probabilidad de que un delincuente asalte uno de estos aparatos y provoque un daño a un paciente es ínfima. Pero, como ha reconocido el anestesiólogo y experto en seguridad informática Jeff Tully (una eminencia que comparte su profesión en quirófanos de California con su afición a «hackear» redes), «hoy en día la mayor parte de estos aparatos médicos no viven aislados. Los usamos en centros sanitarios u hogares repletos de otros dispositivos conectados a internet: la televisión, el teléfono, la lavadora…». La convivencia de múltiples aparatos con especificaciones, medidas de seguridad y conexiones diferentes favorece a «los malos» encontrar una vulnerabilidad por la que penetrar en los sistemas de control.
A la luz de los datos, la Sanidad pública española es una de las más expuestas a estas vulnerabilidades. En 2023, el informe «El estado del Ramsonware en el sector sanitario español» mostró que el 60% de los centros de salud y hospitales ha sufrido alguna vez un ataque informático. Solo en un 24% de los casos la institución sanitaria fue capaz de detener el ataque. En el resto de las ocasiones, los ciberdelincuentes accedieron a datos sensibles y, en la mayor parte de los casos, pudieron extraerlos y manipularlos. La intención de estos invasores es cifrar los datos personales de los pacientes, bloquear el acceso a herramientas clave para el funcionamiento del centro y solicitar una cantidad de dinero elevada a cambio de reestablecer los sistemas.
En Estados Unidos, en los últimos meses se han producido intentos de extorsión por cantidades que van desde los 250.000 a los 500.000 euros. Sin ir más lejos, esta misma semana se ha publicado que los hospitales del Sistema Nacional de Salud del Reino Unido han experimentado una creciente invasión de ciberatacantes. Las autoridades sanitarias han reconocido que se han tenido que posponer por este motivo centenares de operaciones y tratamientos en todo el país.
