Aplicaciones móviles IoMT y la importancia de su seguridadCarlos Ávila 16 junio, 2021 Hace unos meses publiqué un artículo sobre la seguridad y la privacidad en el “Internet de la salud” en el que describía como es inimaginable la cantidad de aplicaciones y dispositivos que la industria de la medicina ha desplegado y serán, en un futuro no tan lejano, utilizados por todos nosotros. Como ha pasado en otras industrias, quizás esto es el camino natural que deben seguir las tecnologías y la industria médica, con el objetivo de mejorar los servicios y la calidad de vida de las personas. Con todos estos cambios, hoy nos acompaña un nuevo termino conocido como IoMT o “Internet of Medical Things” que, a través de tecnologías de IoT o “Internet of Things”, han llegado para quedarse. IoMT es como, a través de sensores incluidos en los dispositivos médicos tradicionales, y acompañados de otras tecnologías como el Big Data, se recopilan datos que, extraídos y analizados, ofrecen mejor servicio a los pacientes y a los profesionales de la salud. Aplicaciones móviles IoMT y funcionalidades Es conocido que los hospitales en el mundo cada día cuentan con más sistemas tecnológicos que involucran desde monitoreo remoto de pacientes, bombas de insulina, manejo de medicamentos, etc., todo esto conectado a la infraestructura tecnológica del hospital. La idea del IoMT es generar un ecosistema de salud interconectado con todos estos dispositivos y las plataformas tecnológicas, aquí es donde juegan un papel fundamental las aplicaciones móviles. Estas aplicaciones móviles desarrolladas para IoMT en mucho de los casos, ya sea directa o indirectamente, están gestionando aparatos y sistemas de la infraestructura hospitalaria, tanto en el interior de los hospitales como externamente. Estas ‘Apps’ comienzan a ejecutan acciones o tomar decisiones en base a datos, dentro de una infraestructura sanitaria porque permanecerán conectados con los relojes inteligentes, pulseras de pacientes, monitoreo de inhaladores de asma, sensores de urología, etc. Ciertos hallazgos en ‘Apps’ IoMT Hemos realizado la revisión unas pocas de estas aplicaciones móviles IoMT desde nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles), así como también con dispositivos físicos con una revisión muy superficial. Es importante mencionar que en cualquier industria, y la sanitaria no es una excepción, se deben continuamente buscar fallos, analizar su seguridad e implementar nuevos controles de seguridad, ya que la tecnología cambia rápidamente y, por ende, la forma de protegerla. En primer lugar, puedo destacar que existen aplicaciones que al momento de registrar un usuario permite usar contraseñas débiles y sin ningún control de fortaleza de las mismas. Además, un denominador común estas aplicaciones es que no se identificó la existencia de controles de 2FA. Imagen 1: No valida complejidad de claves en registro de usuarios (ej. “password”) Otro aspecto que llama la atención, es que encontramos estructuras fácilmente legibles entre archivos .plist, lo que nos denota una mala práctica en cuanto almacenamiento inseguro de estos datos o inadecuada revisión previo a subir las aplicaciones a las tiendas. Imagen 2: Archivos con datos “hardcoded” en archivos .plist Imagen 3: Archivos de certificados “hardcoded” en las apps Si bien las aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends, notamos que los desarrolladores muchas veces deshabilitan arbitrariamente características de seguridad que fortalecen los canales de comunicación desde el cliente (App). Esto solo es una muestra de las oportunidades para mejorar que tienen estas aplicaciones. De la misma manera, no olvidar que muchas de estas aplicaciones tienen comunicación directa a través de protocolos como Bluetooth o internet con los dispositivos IoMT o IoT, ampliando posibles vectores de ataque para los cibercriminales que debemos estar atentos a investigar y proteger. Retos y oportunidades para mejorar Con la puesta en marcha de dispositivos IoMT y sus aplicaciones en las diversas instalaciones en el mundo, nos presenta nuevos retos y vectores de ataque tanto para los propios administradores, fabricantes e investigadores de seguridad ya que seguramente se comenzarán a ver muchas más amenazas a las infraestructuras hospitalarias a través del ecosistema de estos dispositivos. Otros frentes para abordar están relacionados con la estandarización de estos dispositivos y los protocolos de comunicación, que son diversos y están implementados ya en entornos tecnológicos sanitarios. Como hemos visto con las aplicaciones móviles enfocadas a estos dispositivos, esto ya está en camino y su aumento será seguramente vertiginoso. Con lo cual, los retos de seguridad en la aplicabilidad de IoMT son desafiantes y deberíamos comenzar a prestarle atención como un potencial riesgo al cual los atacantes quieren sacarle la mayor ventaja. Seguridad en aplicaciones de videollamadas: Microsoft Teams, Zoom y Google MeetTelefónica Tech, el blog de las nuevas tecnologías
Martiniano Mallavibarrena Ciberseguridad en el cine: mito vs. realidad con 10 ejemplos Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la...
Nacho Palou Ingredientes para las Ciudades Inteligentes del presente Gracias a tecnologías como IoT (Internet de las cosas) y la Inteligencia Artificial, las ciudades pueden ser sensorizadas, mejorar y automatizar procesos, y tomar decisiones de manera más eficiente....
Daniel Pous Montardit Resiliencia, clave en sistemas Cloud-Native En el primer post de la serie Cloud-Native, ¿Qué significa que mi software sea Cloud Native?, presentamos la resiliencia como uno de los atributos fundamentales que nos ayudan a...
Telefónica Tech Boletín semanal de Ciberseguridad, 21 – 27 de enero Killnet apunta contra objetivos en España Esta semana el grupo hacktivista Killnet anunció una campaña de ataques contra Alemania, dando lugar a la realización de ataques de Denegación de Servicio...
Nacho Palou Alumbrado público inteligente: oportunidades de negocio y beneficios para municipios y ciudadanos El alumbrado público inteligente es uno de los pilares de las ciudades inteligentes. De hecho, es uno de los mejores ejemplos de lo que significa el término Smart City:...
Gonzalo Fernández Rodríguez ¿Qué significa que mi aplicación sea Cloud Native? El término Cloud Native es algo que va más allá de mover las aplicaciones alojadas en un data center a una infraestructura proporcionada por un proveedor Cloud, sea Cloud...