Fallas de seguridad en equipos médicos podrían ser explotadas por hackers

Otro dispositivo “inteligente” ha sido encontrado con serias fallas de seguridad que podrían ser aprovechadas por los hackers. Esta vez se trata de una desinfectadora y lavadora comercial producida por Miele Professional que se conecta a la Internet de las Cosas (IoT). El riesgo estriba en que la falla permite que cualquier persona conectada tenga acceso y solicite cualquier archivo de su servidor web.

El Miele PG8528 es un aparato que lava y desinfecta, diseñado para la limpieza de aparatos médicos, aunque también se puede utilizar para platos de restaurantes, y como muchos equipos contemporáneos, Miele fue creado para funcionar conectado a otros dispositivos. Con un conector serie RS232 incorporado y un cable ethernet, puede conectarse a varios otros aparatos y a una red local de Internet.

Eso es excelente para funciones inteligentes, pero cuando se tiene un servidor web sin las barreras de seguridad apropiadas, significa que el dispositivo podría ser hackeado por cualquier persona con un conocimiento básico del sistema.

La falla se debe a que el servidor web PST10 incorporado en la máquina podría en teoría permitir a un atacante descubrir información sensible sobre la red local o la organización que la maneja, lo cual seria especialmente preocupante en caso de tratarse de un hospital o centro médico.

Este error fue descubierto por Jens Regel de Schneider & Wulf, quien supuestamente contactó a Miele Professional sobre el problema en noviembre del año pasado. Sin embargo, después de hablar con un representante de seguridad en la empresa, no recibieron ninguna respuesta durante varios meses. Con eso en mente, ahora han hecho pública la falla, con la esperanza de que la empresa haga algo al respecto.

En el momento de escribir este artículo, Miele Professional no ha hecho ninguna declaración oficial, y la página donde se presentó la divulgación completa del error sugiere que todavía no existe ninguna solución para el problema de seguridad.

Desafortunadamente, este tipo de ruta para descubrir vulnerabilidades en dispositivos IoT se está tornando cada vez más común. Posiblemente complicando las cosas, la directora de la FCC, Maureen Ohlhausen, declaró recientemente que preferiría que la industria de IoT se auto-regulase, en lugar de estar obligada a responder a estrictas regulaciones federales. Sin embargo, en ausencia de figuras responsables en la industria, eso podría poner a muchos más consumidores en riesgo de nuevos ataques.