Aplicaciones móviles IoMT y la importancia de su seguridadCarlos Ávila 16 junio, 2021 Hace unos meses publiqué un artículo sobre la seguridad y la privacidad en el “Internet de la salud” en el que describía como es inimaginable la cantidad de aplicaciones y dispositivos que la industria de la medicina ha desplegado y serán, en un futuro no tan lejano, utilizados por todos nosotros. Como ha pasado en otras industrias, quizás esto es el camino natural que deben seguir las tecnologías y la industria médica, con el objetivo de mejorar los servicios y la calidad de vida de las personas. Con todos estos cambios, hoy nos acompaña un nuevo termino conocido como IoMT o “Internet of Medical Things” que, a través de tecnologías de IoT o “Internet of Things”, han llegado para quedarse. IoMT es como, a través de sensores incluidos en los dispositivos médicos tradicionales, y acompañados de otras tecnologías como el Big Data, se recopilan datos que, extraídos y analizados, ofrecen mejor servicio a los pacientes y a los profesionales de la salud. Aplicaciones móviles IoMT y funcionalidades Es conocido que los hospitales en el mundo cada día cuentan con más sistemas tecnológicos que involucran desde monitoreo remoto de pacientes, bombas de insulina, manejo de medicamentos, etc., todo esto conectado a la infraestructura tecnológica del hospital. La idea del IoMT es generar un ecosistema de salud interconectado con todos estos dispositivos y las plataformas tecnológicas, aquí es donde juegan un papel fundamental las aplicaciones móviles. Estas aplicaciones móviles desarrolladas para IoMT en mucho de los casos, ya sea directa o indirectamente, están gestionando aparatos y sistemas de la infraestructura hospitalaria, tanto en el interior de los hospitales como externamente. Estas ‘Apps’ comienzan a ejecutan acciones o tomar decisiones en base a datos, dentro de una infraestructura sanitaria porque permanecerán conectados con los relojes inteligentes, pulseras de pacientes, monitoreo de inhaladores de asma, sensores de urología, etc. Ciertos hallazgos en ‘Apps’ IoMT Hemos realizado la revisión unas pocas de estas aplicaciones móviles IoMT desde nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles), así como también con dispositivos físicos con una revisión muy superficial. Es importante mencionar que en cualquier industria, y la sanitaria no es una excepción, se deben continuamente buscar fallos, analizar su seguridad e implementar nuevos controles de seguridad, ya que la tecnología cambia rápidamente y, por ende, la forma de protegerla. En primer lugar, puedo destacar que existen aplicaciones que al momento de registrar un usuario permite usar contraseñas débiles y sin ningún control de fortaleza de las mismas. Además, un denominador común estas aplicaciones es que no se identificó la existencia de controles de 2FA. Imagen 1: No valida complejidad de claves en registro de usuarios (ej. “password”) Otro aspecto que llama la atención, es que encontramos estructuras fácilmente legibles entre archivos .plist, lo que nos denota una mala práctica en cuanto almacenamiento inseguro de estos datos o inadecuada revisión previo a subir las aplicaciones a las tiendas. Imagen 2: Archivos con datos “hardcoded” en archivos .plist Imagen 3: Archivos de certificados “hardcoded” en las apps Si bien las aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends, notamos que los desarrolladores muchas veces deshabilitan arbitrariamente características de seguridad que fortalecen los canales de comunicación desde el cliente (App). Esto solo es una muestra de las oportunidades para mejorar que tienen estas aplicaciones. De la misma manera, no olvidar que muchas de estas aplicaciones tienen comunicación directa a través de protocolos como Bluetooth o internet con los dispositivos IoMT o IoT, ampliando posibles vectores de ataque para los cibercriminales que debemos estar atentos a investigar y proteger. Retos y oportunidades para mejorar Con la puesta en marcha de dispositivos IoMT y sus aplicaciones en las diversas instalaciones en el mundo, nos presenta nuevos retos y vectores de ataque tanto para los propios administradores, fabricantes e investigadores de seguridad ya que seguramente se comenzarán a ver muchas más amenazas a las infraestructuras hospitalarias a través del ecosistema de estos dispositivos. Otros frentes para abordar están relacionados con la estandarización de estos dispositivos y los protocolos de comunicación, que son diversos y están implementados ya en entornos tecnológicos sanitarios. Como hemos visto con las aplicaciones móviles enfocadas a estos dispositivos, esto ya está en camino y su aumento será seguramente vertiginoso. Con lo cual, los retos de seguridad en la aplicabilidad de IoMT son desafiantes y deberíamos comenzar a prestarle atención como un potencial riesgo al cual los atacantes quieren sacarle la mayor ventaja. Seguridad en aplicaciones de videollamadas: Microsoft Teams, Zoom y Google MeetTelefónica Tech, el blog de las nuevas tecnologías
Alberto García García-Castro Hyperledger Besu: tecnología blockchain en auge dentro del entorno empresarial Hasta hace relativamente poco tiempo, el mundo de las DLT (Distributed Ledger Technology) privadas se ha repartido en torno a unos pocos players que han abarcado la mayor parte...
Diego Samuel Espitia Facebook, afectado por el compromiso de paquetes de desarrollo JavaScript En los servicios que encontramos a través de Internet o de móviles y con los que interactuamos todos los días, encontramos lenguajes de programación como Python y JavaScript, que...
Marta Nieto Gómez-Elegido Edge Computing y Realidad Virtual, nuevos compañeros de clase Hace algo más de mes que el curso escolar empezó. Nuevas asignaturas, nuevos desafíos y compañeros de aula. Entre ellos, se escucha cada vez con más fuerza un nombre:...
Área de Innovación y Laboratorio de Telefónica Tech Crónica de la participación en el 15 ENISE: “New Visions” Los días 19 y 20 de octubre hemos tenido la oportunidad de participar en la 15 edición del evento de ciberseguridad que organiza INCIBE en León bajo el lema “New...
Cristina del Carmen Arroyo Siruela Comprendiendo los certificados digitales Para los ciudadanos de a pie, los certificados digitales son esos archivos o documentos electrónicos que les permiten llevar a cabo miles de acciones jurídicas, administrativas, pudiendo prescindir de...
Santiago Morante Inteligencia Artificial en la ficción: «Eva», de Kike Maíllo ¿Tienes miedo de que tu robot de cocina se rebele y te envenene las lentejas? ¿Crees que tu Roomba te vigila? ¿Te tapas con una gorra cuando ves un...
