Aplicaciones móviles IoMT y la importancia de su seguridad

Carlos Ávila    16 junio, 2021
Aplicaciones móviles IoTM y la importancia de su seguridad

Hace unos meses publiqué un artículo sobre la seguridad y la privacidad en el “Internet de la salud” en el que describía como es inimaginable la cantidad de aplicaciones y dispositivos que la industria de la medicina ha desplegado y serán, en un futuro no tan lejano, utilizados por todos nosotros. Como ha pasado en otras industrias, quizás esto es el camino natural que deben seguir las tecnologías y la industria médica, con el objetivo de mejorar los servicios y la calidad de vida de las personas.

Con todos estos cambios, hoy nos acompaña un nuevo termino conocido como IoMT o “Internet of Medical Things” que, a través de tecnologías de IoT o “Internet of Things”, han llegado para quedarse. IoMT es como, a través de sensores incluidos en los dispositivos médicos tradicionales, y acompañados de otras tecnologías como el Big Data, se recopilan datos que, extraídos y analizados, ofrecen mejor servicio a los pacientes y a los profesionales de la salud.

Aplicaciones móviles IoMT y funcionalidades

Es conocido que los hospitales en el mundo cada día cuentan con más sistemas tecnológicos que involucran desde monitoreo remoto de pacientes, bombas de insulina, manejo de medicamentos, etc., todo esto conectado a la infraestructura tecnológica del hospital.  

La idea del IoMT es generar un ecosistema de salud interconectado con todos estos dispositivos y las plataformas tecnológicas, aquí es donde juegan un papel fundamental las aplicaciones móviles.

Estas aplicaciones móviles desarrolladas para IoMT en mucho de los casos, ya sea directa o indirectamente, están gestionando aparatos y sistemas de la infraestructura hospitalaria, tanto en el interior de los hospitales como externamente. Estas ‘Apps’ comienzan a ejecutan acciones o tomar decisiones en base a datos, dentro de una infraestructura sanitaria porque permanecerán conectados con los relojes inteligentes, pulseras de pacientes, monitoreo de inhaladores de asma, sensores de urología, etc.

Ciertos hallazgos en ‘Apps’ IoMT

Hemos realizado la revisión unas pocas de estas aplicaciones móviles IoMT desde nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles), así como también con dispositivos físicos con una revisión muy superficial. Es importante mencionar que en cualquier industria, y la sanitaria no es una excepción, se deben continuamente buscar fallos, analizar su seguridad e implementar nuevos controles de seguridad, ya que la tecnología cambia rápidamente y, por ende, la forma de protegerla.

En primer lugar, puedo destacar que existen aplicaciones que al momento de registrar un usuario permite usar contraseñas débiles y sin ningún control de fortaleza de las mismas. Además, un denominador común estas aplicaciones es que no se identificó la existencia de controles de 2FA.

Imagen 1: No valida complejidad de claves en registro de usuarios (ej. “password”)

Otro aspecto que llama la atención, es que encontramos estructuras fácilmente legibles entre archivos .plist, lo que nos denota una mala práctica en cuanto almacenamiento inseguro de estos datos o inadecuada revisión previo a subir las aplicaciones a las tiendas.

Imagen 2: Archivos con datos “hardcoded” en archivos .plist
Imagen 3: Archivos de certificados “hardcoded” en las apps

Si bien las aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends, notamos que los desarrolladores muchas veces deshabilitan arbitrariamente características de seguridad que fortalecen los canales de comunicación desde el cliente (App).

Esto solo es una muestra de las oportunidades para mejorar que tienen estas aplicaciones. De la misma manera, no olvidar que muchas de estas aplicaciones tienen comunicación directa a través de protocolos como Bluetooth o internet con los dispositivos IoMT o IoT, ampliando posibles vectores de ataque para los cibercriminales que debemos estar atentos a investigar y proteger.

Retos y oportunidades para mejorar

Con la puesta en marcha de dispositivos IoMT y sus aplicaciones en las diversas instalaciones en el mundo, nos presenta nuevos retos y vectores de ataque tanto para los propios administradores, fabricantes e investigadores de seguridad ya que seguramente se comenzarán a ver muchas más amenazas a las infraestructuras hospitalarias a través del ecosistema de estos dispositivos.

Otros frentes para abordar están relacionados con la estandarización de estos dispositivos y los protocolos de comunicación, que son diversos y están implementados ya en entornos tecnológicos sanitarios. Como hemos visto con las aplicaciones móviles enfocadas a estos dispositivos, esto ya está en camino y su aumento será seguramente vertiginoso. Con lo cual, los retos de seguridad en la aplicabilidad de IoMT son desafiantes y deberíamos comenzar a prestarle atención como un potencial riesgo al cual los atacantes quieren sacarle la mayor ventaja.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *