Red Seguridad 099

red seguridad cuarto trimestre 2022 95 hospitales 5.0 monográfico también están dentro de las instalacio- nes y pueden convertirse en atacantes desde el interior. Otro riesgo que deriva en amenaza interna es que los dispositivos médicos salgan al mercado con pocas medidas de protección, o incluso con sistemas obsoletos e inseguros. Estos dispositivos pueden ser utilizados por pacientes des- de sus propias casas sin necesidad de visitar los centros médicos, siendo, en muchos casos, personas que no saben cómo protegerse ante amenazas de ci- berseguridad y que usan credenciales predecibles. En consecuencia, son víc- timas perfectas de un ciberataque de ingeniería social o candidatos para dejar expuestos el dispositivo accidentalmen- te, permitiendo ser estudiados para ela- borar ataques más avanzados, acceder a información sensible e incluso entrar en los entornos internos. Ataque de proximidad: Son todos los relacionados con tecnolo- gías de comunicaciones de corto alcan- ce. En particular, en el sector salud nos encontramos con muchos dispositivos médicos que hacen uso de estas tecno- logías ( Bluetooth , WiFi, RFID, irDA, etc.), muchas de ellas mal configuradas o con protocolos obsoletos e inseguros cuya actualización es costosa o compleja. También se encuentran en zonas con un rango de cobertura que alcanza zonas comunes, permitiendo al atacante estar cerca sin posibilidad de ser descubierto. En las instalaciones de salud se reci- be constantemente a personal externo, cuya razón de ser es atendernos a todos. Por lo tanto, los ataques de este estilo no cuentan con la medida adicional de acceso físico restringido o controlado. Ataques por cadena de suministro (o de proveedores): Se originan en el proveedor con el obje- tivo de llegar a sus clientes. Aunque pue- de atacarse en cualquiera de los forma- tos anteriores, ha adquirido mucho auge en la actualidad. Por eso es importante mencionarlo por separado. Este ataque adquiere una connota- ción diferente en la salud por la gran cantidad de proveedores que posee y los múltiples tipos de accesos que tie- ne. Durante diversas auditorías realiza- das por S21sec nos hemos encontrado, en este sentido, innumerables interfa- ces de administración de dispositivos con escasas medidas de seguridad. Unos dispositivos que estaban conecta- dos directamente a la red de hospitales, centros de salud u otros dispositivos también críticos. Vulnerabilidades Desde nuestra compañía llevamos años abordando la seguridad del sector salud. Particularmente, desde el Área de Segu- ridad Ofensiva trabajamos en la emula- ción de distintos atacantes, enfocándo- nos en varios vectores de aproximación y detectando un conjunto de vulnerabili- dades que podríamos decir que son las más frecuentes: Externas: La rápida incorporación de aplicacio- nes web y móviles al mercado complica la posibilidad de corregir en un tiempo prudencial las vulnerabilidades, y por lo tanto, en ciertas ocasiones salen al mercado conociéndolas y con medidas de seguridad escasas. Se asume el riesgo o una baja probabilidad de ser atacados. También nos hemos encontrado in- terfaces online que permiten acceder a la administración de dispositivos. El objetivo de estas interfaces es dar rá- pidamente acceso a proveedores, pero muchas de ellas aún se comunican por protocolos inseguros, poseen vulnerabi- lidades de fácil explotación y hacen uso de contraseñas inseguras y predecibles. Internas: La primera está relacionada con los equipos que se encuentran a dispo-