Aplicaciones móviles IoMT y la importancia de su seguridadCarlos Ávila 16 junio, 2021 Hace unos meses publiqué un artículo sobre la seguridad y la privacidad en el “Internet de la salud” en el que describía como es inimaginable la cantidad de aplicaciones y dispositivos que la industria de la medicina ha desplegado y serán, en un futuro no tan lejano, utilizados por todos nosotros. Como ha pasado en otras industrias, quizás esto es el camino natural que deben seguir las tecnologías y la industria médica, con el objetivo de mejorar los servicios y la calidad de vida de las personas. Con todos estos cambios, hoy nos acompaña un nuevo termino conocido como IoMT o “Internet of Medical Things” que, a través de tecnologías de IoT o “Internet of Things”, han llegado para quedarse. IoMT es como, a través de sensores incluidos en los dispositivos médicos tradicionales, y acompañados de otras tecnologías como el Big Data, se recopilan datos que, extraídos y analizados, ofrecen mejor servicio a los pacientes y a los profesionales de la salud. Aplicaciones móviles IoMT y funcionalidades Es conocido que los hospitales en el mundo cada día cuentan con más sistemas tecnológicos que involucran desde monitoreo remoto de pacientes, bombas de insulina, manejo de medicamentos, etc., todo esto conectado a la infraestructura tecnológica del hospital. La idea del IoMT es generar un ecosistema de salud interconectado con todos estos dispositivos y las plataformas tecnológicas, aquí es donde juegan un papel fundamental las aplicaciones móviles. Estas aplicaciones móviles desarrolladas para IoMT en mucho de los casos, ya sea directa o indirectamente, están gestionando aparatos y sistemas de la infraestructura hospitalaria, tanto en el interior de los hospitales como externamente. Estas ‘Apps’ comienzan a ejecutan acciones o tomar decisiones en base a datos, dentro de una infraestructura sanitaria porque permanecerán conectados con los relojes inteligentes, pulseras de pacientes, monitoreo de inhaladores de asma, sensores de urología, etc. Ciertos hallazgos en ‘Apps’ IoMT Hemos realizado la revisión unas pocas de estas aplicaciones móviles IoMT desde nuestras plataformas mASAPP (análisis de seguridad continuo de aplicaciones móviles), así como también con dispositivos físicos con una revisión muy superficial. Es importante mencionar que en cualquier industria, y la sanitaria no es una excepción, se deben continuamente buscar fallos, analizar su seguridad e implementar nuevos controles de seguridad, ya que la tecnología cambia rápidamente y, por ende, la forma de protegerla. En primer lugar, puedo destacar que existen aplicaciones que al momento de registrar un usuario permite usar contraseñas débiles y sin ningún control de fortaleza de las mismas. Además, un denominador común estas aplicaciones es que no se identificó la existencia de controles de 2FA. Imagen 1: No valida complejidad de claves en registro de usuarios (ej. “password”) Otro aspecto que llama la atención, es que encontramos estructuras fácilmente legibles entre archivos .plist, lo que nos denota una mala práctica en cuanto almacenamiento inseguro de estos datos o inadecuada revisión previo a subir las aplicaciones a las tiendas. Imagen 2: Archivos con datos “hardcoded” en archivos .plist Imagen 3: Archivos de certificados “hardcoded” en las apps Si bien las aplicaciones establecen canales de comunicación seguros (HTTPS) con sus backends, notamos que los desarrolladores muchas veces deshabilitan arbitrariamente características de seguridad que fortalecen los canales de comunicación desde el cliente (App). Esto solo es una muestra de las oportunidades para mejorar que tienen estas aplicaciones. De la misma manera, no olvidar que muchas de estas aplicaciones tienen comunicación directa a través de protocolos como Bluetooth o internet con los dispositivos IoMT o IoT, ampliando posibles vectores de ataque para los cibercriminales que debemos estar atentos a investigar y proteger. Retos y oportunidades para mejorar Con la puesta en marcha de dispositivos IoMT y sus aplicaciones en las diversas instalaciones en el mundo, nos presenta nuevos retos y vectores de ataque tanto para los propios administradores, fabricantes e investigadores de seguridad ya que seguramente se comenzarán a ver muchas más amenazas a las infraestructuras hospitalarias a través del ecosistema de estos dispositivos. Otros frentes para abordar están relacionados con la estandarización de estos dispositivos y los protocolos de comunicación, que son diversos y están implementados ya en entornos tecnológicos sanitarios. Como hemos visto con las aplicaciones móviles enfocadas a estos dispositivos, esto ya está en camino y su aumento será seguramente vertiginoso. Con lo cual, los retos de seguridad en la aplicabilidad de IoMT son desafiantes y deberíamos comenzar a prestarle atención como un potencial riesgo al cual los atacantes quieren sacarle la mayor ventaja. Seguridad en aplicaciones de videollamadas: Microsoft Teams, Zoom y Google MeetTelefónica Tech, el blog de las nuevas tecnologías
Víctor Mayoral-Vilches Cibercrimen en robótica, la investigación de Alias Robotics que viaja a Black Hat ¿Están seguros los robots industriales? Es la pregunta con la que comienza este análisis, desde Alias Robotics hemos trabajado junto a TrendMicro en una investigación sobre seguridad robótica en...
Guillermo Rodriguez Herra Tecnología y análisis de datos, un gregario de lujo Estamos en julio, posiblemente el mes que concentra más eventos deportivos, algo que este año se ha visto incrementado por los efectos de la crisis sanitaria que vivimos desde...
Diego Samuel Espitia Nueva amenaza, viejas técnicas Desde hace algunos años las técnicas usadas por los desarrolladores de malware se han enfocado en evadir los mecanismos de detección, encontrando que los macros ofuscados y el uso...
Álvaro Paniagua ArgoCD, la forma sencilla de empezar a implementar GitOps en tu empresa Las prácticas GitOps están cogiendo especial relevancia este 2021, potenciada por el incremento de uso de Kubernetes en todo tipo de organizaciones, un paso hacia adelante respecto a la...
Telefónica Tech Boletín semanal de ciberseguridad 17-23 de julio Publicada una investigación sobre ciberespionaje a nivel mundial Un consorcio formado por diferentes organizaciones y medios de prensa ha publicado una investigación donde se desvela la comercialización y uso indiscriminado...
Telefónica Tech Las personas, el centro de nuestra tecnología En Telefónica Tech nos apasiona la tecnología, pero hay algo que nos gusta aún más: las personas. Son las personas las que dan sentido a la tecnología y no...
