Al menos decenas de clínicas en España y miles en todo el mundo permiten acceder desde cualquier equipo conectado a internet a los ficheros médicos de pruebas clínicas como resonancias, tomografías y radiografías sin mecanismos de seguridad informática básicos.

Durante la segunda jornada de la octava edición del congreso de ciberseguridad Hackron celebrado ayer en el Auditorio de Tenerife, un equipo de investigadores canario realizó una demostración de cómo utilizando información disponible en internet se puede acceder a las imágenes digitalizadas de pruebas clínicas. "Esta presentación es un tirón de orejas para todas las organizaciones sanitarias que no contemplan medidas de ciberseguridad porque esta forma de actuar con datos tan sensibles acabará mal", así de categórico se mostró Igor Lukic tras la demostración que realizó ayer en el congreso de ciberseguridad de cómo las imágenes de pruebas clínicas de hospitales de España podrían ser consultadas y modificadas sin estar protegidas por ninguna medida de seguridad informática. "Lo descubrimos por casualidad mientras trabajábamos en un proyecto para un cliente", destaca Lukic. Lejos del alarmismo y los titulares sensacionalistas, el experto en seguridad informática recalca que tanto en la demostración como en las imágenes presentadas se han eliminado datos personales y este anuncio lo realizan después de notificarlo al Centro Criptológico Nacional Computer Emergency Response Team (CCN-CERT), que será el encargado de "valorar el alcance del problema", al ser imposible para la empresa contactar con todas las organizaciones, que suman al menos 2.683 ordenadores que ofrecen esta información de forma insegura. "No hemos accedido a todos estos servidores de datos clínicos, pero el problema de seguridad está en el protocolo de comunicación de estos ficheros y es común para todos". Este problema de seguridad no solo permite la consulta de estos ficheros de imágenes, también pueden modificarse provocando que el especialista diagnostique una enfermedad al consultarlos cuando no se padece y viceversa.

Aunque la digitalización de los sistemas de información ayudará a reducir las listas de espera, "no debe de hacerse de forma negligente ya que cada vez habrá más dispositivos conectados y una vulnerabilidad que permita acceder, o cambiar nuestros resultados clínicos es un problema que nos afecta a todos", recalcó. La irrupción en los próximos años de la tecnología 5G facilitará que todos los aparatos, como los que realizan pruebas clínicas, puedan estar conectados a internet y enviar sus datos directamente a un repositorio de expedientes "multiplicando los problemas de seguridad que deben de atajarse".

Alejados de la figura del hacker presentada en las películas, los ponentes mostraron que los valores que les representan son la curiosidad y el conocimiento. Juan Carlos Vega, creador del primer ciberejército de los EE.UU., destacó cómo la seguridad informática en un mundo ultraconectado va más allá de los ordenadores y redes de una empresa. También afecta a los ordenadores utilizados en casa, a los miembros de la familias de los empleados, o el móvil que nos acompaña al trabajo. Es por ese motivo que las empresas deben empoderar a sus empleados y hacerles partícipes de la seguridad de una organización. Como si fuese un ejército todos tienen que saber qué hacer en el caso de un problema porque "el tiempo que se tarda en reaccionar importa".

El conocimiento que obtienen con su curiosidad puede llegar a transformarse en una pesadilla incluso cuando el objetivo del hacker es evitar que alguien pueda aprovecharse de estos problemas inesperados. Es lo que le sucedió a Chris Kubecka, especialista en ciberseguridad que ya en 2012 había recuperado la red de la petrolera saudí Aramco tras sufrir uno de los mayores ciberataques de la historia. En abril de 2019 descubrió serios problemas de seguridad en la empresa aeroespacial Boeing. Entre ellos denunció un servidor de correo infectado y cómo las redes de investigación de la empresa expuestas públicamente en internet, permitiendo a los delincuentes intentar acceder a sus trabajos. Incluso aseguró que podía llegar fácilmente a una página web desde la que acceder a las cámaras que tienen instaladas los aviones y ver a su pasaje durante el vuelo. Kubecka sintió en los meses posteriores a su comunicación cómo la empresa quería censurarla y evitar que divulgase estos problemas de seguridad en lugar de encontrar una solución. Cuando acabó pidió que levantasen la mano si alguien se seguía sintiendo seguro volando. Nadie lo hizo.

Casos prácticos

En la ponencia más técnica de la mañana, Timuf Yunusov cerró la jornada mostrando un fallo en el servicio de pago Visa. Modificando solo dos campos de datos que se intercambian entre la tarjeta y el terminal de pago se puede superar el límite de pagos de la verificación en tarjetas contactless. Rompiendo la barrera de los 20 euros en España, o las 30 libras en el Reino Unido, un ciberdelincuente puede vaciar la cuenta de cualquier persona que disponga de estas tarjetas rápidamente.

La ponencia del perito informático forense Lorenzo Martínez es una de las más esperadas en Hackron. Ponente desde la primera edición cada año muestra un caso práctico de su trabajo cambiando nombres y profesiones. De una forma didáctica y amena, sin entrar apenas en los tecnicismos de un ingeniero informático, plantea cómo afronta los casos de sus clientes, al mismo tiempo que busca hacerlos entendibles para los juristas y policías. En esta ocasión describió como su trabajo convirtió un despido por baja productividad en un despido improcedente y una multa para la empresa. Su taller de la tarde fue uno de los más concurridos.

Dos días de actividades

CONCURSO: Atrapa la bandera

Javier Correa, estudiante de segundo año del Grado en Ingeniería Informática de la Universidad de La Laguna, ganó el concurso de la octava edición del congreso al conseguir el mayor número de retos que un atacante malicioso hubiese superado para entrar en varios ordenadores disponibles en la zona de talleres.

CONCIENCIACIÓN: 80 progenitores

Participaron en los talleres de concienciación en ciberseguridad que el Cabildo de Tenerife patrocina para formar a la ciudadanía. "Un evidente éxito", destacó Berta Pérez, vicepresidenta segunda de la corporación.

'OVERBOOKING': Sin plazas libres

Esta edición era la primera para la mitad del público en la jornada de mañana. Durante la tarde varias personas tuvieron que estar de pie en los diferentes talleres que simultáneamente se celebraron en la sala multiusos en el nivel -1 del Auditorio.

DEMOSTRACIÓN: Pelea de robots

Por primera vez el congreso organiza una pelea de robots de tamaño reducido que probablemente se repetirá en futuras ediciones.