PACS y DICOM: Una “radiografía” a las debilidades y fugas de información en sistemas médicos

ElevenPaths    30 mayo, 2017
En el mundo de la conectividad de los dispositivos médicos y su instrumentación, existen una amplia variedad de iniciativas, protocolos, estándares y fabricantes que trabajan arduamente en intentar alcanzar una integración neutral para este tipo de sistemas y dispositivos.
Imagen 1: Ejemplo de sistema médico

Claro está que aquellos que trabajamos en la comunidad de la seguridad, vemos con gran preocupación que el auge que siguen tomado estas tecnologías no implique considerar desde el diseño, conceptos como el desarrollo seguro.
Dentro de la gran variedad de sistemas, en esta oportunidad queremos enfocarnos en los sistemas PACS (Picture Archiving and Communication System), cuya arquitectura típica podemos observar en la imagen 2. En dicha imagen podemos observar que existe un componente principal llamado servidor PACS, el cuál es un sistema encargado del almacenamiento digital, de la transmisión y de la descarga de imágenes radiológicas. Estos sistemas se componen de software y hardware, que se comunican directamente con las denominadas modalidades (“Modality”); y es a través de estas, que se obtienen las imágenes. Las imágenes son transferidas hacia el visor PACS (software cliente para visualización y emisión de informes radiológicos), las cuales pueden ser tanto estaciones de trabajo o dispositivos móviles (con sus respectivas vulnerabilidades por mala gestión de los mismos).
Imagen 2: Ejemplo de arquitectura típica PACS
Dentro de este tipo de arquitecturas, el protocolo DICOM (Digital Imaging and Communications in Medicine) juega un papel relevante ya que es el llamado formato universal para el intercambio de imágenes médicas digitales. El mismo es responsable de toda la comunicación con las modalidades del área de imágenes (cada una de las técnicas/equipos para la obtención de imágenes: Tac, Resonancia Magnética, Ecografía). Además de la comunicación con otros servidores PACS y estaciones de trabajo DICOM.
Las inadecuadas prácticas de desarrollo, configuración o implementación, como en cualquier ámbito, provocan fallos de seguridad muy variados, pero en este caso nos preocupan aquellos donde principalmente podría revelarse información como los datos personales de los pacientes, tipo de enfermedades, hospitales visitados e información de sus doctores, entre otros…

Imagen 3: DCOM
Haciendo unas simples búsquedas en Shodan por los puertos 104 o 11112 de DICOM más comunes o directamente alguna palabra clave como se muestra a continuación, es posible tener una idea de qué tan expuestos se encuentran estos sistemas:

Imagen 4: Búsqueda en Shodan Server de DCOM, top de búsquedas.
Imagen 5: Búsquedas en Shodan Server de DCOM, Argentina.

Imagen 6: Búsqueda en SHodan Serber de DCOM, Ecuador.
Imagen 7: Búsqueda en Shodan Server de DCOM, Chile.
Encontrar sistemas expuestos podría no representar un problema para muchos, pero innegablemente existe un riesgo de seguridad sobre el cual deberíamos preocuparnos, porque existen vulnerabilidades provocadas por las malas implementaciones que evidencian fugas de información tales como la que podemos ver en las siguientes imágenes, donde haciendo uso de un Viewer PACS (en este caso utilizamos el de RADIANT) es posible consultar remotamente (sin autenticación) información de pacientes, exámenes radiológicos (información o imágenes), incluso con la posibilidad de estar expuestos a la manipulación de esta información a través de algún otro fallo.

Imagen 8: Información accedida con el Viewer PAC de un sistema expuesto.

Claramente, este tipo de servicios podrían estar expuestos a la explotación de algún otro tipo de vulnerabilidad critica o de mayor impacto, permitiendo, por ejemplo, tomar control de una red hospitalaria. Existen varios posibles vectores de ataque que un potencial atacante podría aprovechar, como por ejemplo: 
  • Passwords Hardcodeados (ejemplo: CVE-2013-7442 GE Centricity PACS)
  • Trafico inseguro
  • Firmware de dispositivos (Modality)
  • APIs de PACS (RESTFul)
  • Fallos en el desarrollo de Software Clientes Viewer PACS (Escritorio, Web, Apps) 

Aplicación Web de GE para Radiología (acceso a reportes e imágenes desde PACS)

Tenemos que tomar en consideración que no solo existen este tipo de dispositivos o sistemas de salud, son muchos más, y de no tomar en cuenta las consideraciones necesarias de seguridad, se podrían presentar los mismos riesgos a los cuales se enfrentan en la actualidad cualquier infraestructura tecnológica.
Si desean conocer un poco más, no dejen de analizar la información disponible en: 
  • OFFIS (Institute for Information Technology) – DICOM Toolkits, Librerías, Software, Demos
  • Sitio que ejecuta un servidor DICOM genérico para uso público de pruebas
Seguiremos pendiente de cómo evolucionan tanto los dispositivos como los sistemas médicos para traerles nuevas entradas acerca de ellos. De igual manera los invitamos a compartir información acerca de estos sistemas en nuestra comunidad.
Carlos Ávila
Chief Security Ambassador
ElevenPaths
ElevenPaths

Somos el equipo de ciberseguridad de Telefónica Tech, el holding de empresas que agrupa los negocios digitales de ciberseguridad, cloud, IoT y Big Data.

Te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada.