Una de las señas de identidad del IoMT es la sensibilidad de los datos físicos, fisiológicos y clínicos manejados en estos sistemas. Es por ello que la seguridad se convierte en un elemento crítico frente a otros ámbitos de aplicación similares (Ghubaish, 2020). A continuación, se resumen los principales requisitos que debe cumplir todo sistema IoMT en términos de seguridad, así como algunos de los principales ataques a los que se pueden ver expuestos.
Requisitos
En la infraestructura del IoMT se están utilizando tecnologías de comunicación estándar (Koutras, 2020), que tienen características de seguridad limitadas. Ello hace necesario un mecanismo de seguridad adecuado que pueda ser ampliamente aceptado en los sistemas sanitarios inteligentes. Para construir un mecanismo de seguridad adecuado, hay que hacer hincapié en los siguientes requisitos de seguridad.
- Autenticación
-
La autenticación es un proceso de identificación del host correcto con el que un paciente va a comunicarse y compartir la información crítica. Es importante utilizar mecanismos de autenticación adecuados que eviten la suplantación de la identidad de cualquiera de las partes implicadas en el proceso de comunicación.
- Autorización
-
La autorización permite asegurar que solo se han utilizado nodos autorizados o canales de comunicación autorizados a lo largo del proceso de comunicación. Ello evita el acceso a los datos de salud por parte de terceros o intermediarios que puedan tratar de hacer un uso indebido de los mismos.
- Disponibilidad
-
La disponibilidad permite garantizar la supervivencia de los servicios a nivel global o local para el usuario, incluso en caso de ataques de denegación de servicio. Esta característica es crítica especialmente para aquellos servicios de salud inteligente que no pueden verse desprovistos en ningún momento (por ejemplo, operaciones en remoto a través de robótica quirúrgica).
- Confidencialidad
-
La confidencialidad se encarga de garantizar la inaccesibilidad de la información médica o de los registros electrónicos del paciente a usuarios no autorizados.
- Vigencia de los datos
-
La vigencia de los datos permite garantizar que los datos estén actualizados y sean correctos, algo que en el paradigma IoMT es clave teniendo en cuenta que los dispositivos inteligentes pueden proporcionar algunas mediciones erróneas.
- Tolerancia a fallos
-
La tolerancia a los fallos es el proceso para proporcionar servicios de seguridad consistentes incluso en cualquier fallo de software o de un dispositivo. Se debe procurar que la infraestructura IoMT sea suficientemente robusta para poder asegurar el servicio prestado incluso cuando se produzcan ciertos errores en la recolección, procesamiento y generación de datos y resultados médicos.
- Integridad
-
La integridad permite asegurar la corrección y completitud de la historia de salud del paciente en cualquier condición desfavorable. Por lo tanto, es esencial garantizar que la veracidad del contenido almacenado y la integridad de los datos no se vean comprometidos bajo ningún coste.
- Resiliencia
-
La resiliencia se refiere al proceso de protección de la información, los dispositivos y la red frente a los ataques durante cualquier interacción entre los dispositivos interconectados.
Ataques
A medida que aumentan las nuevas tecnologías, el número de ataques a las mismas también crece. En este sentido, la infraestructura del IoMT, y de forma más concreta los dispositivos inteligentes y las redes que los conectan, son los principales objetivos de los atacantes. Las amenazas pueden encontrarse tanto dentro como fuera de las redes. Algunas de estas amenazas son tangibles, otras son predecibles y muchas de ellas son muy difíciles de predecir. Los sistemas IoMT se enfrentan a tres tipos de ataques fundamentalmente: ataques basados en la interrupción de la información, ataques basados en las propiedades del host y ataque basados en las propiedades de la red.
El ataque basado en la interrupción de la información se caracteriza por que el atacante obtiene los datos sanitarios en tránsito o almacenados. Después, los datos se manipulan tras eliminar o actualizar la información de los registros originales. Este tipo de ataques puede consistir en la interrupción del servicio a través de una denegación de servicio que puede hacer que el enlace o canal de comunicación no esté disponible, causando un impacto severo en la funcionalidad de la red, la disponibilidad del servicio de salud y también en la capacidad de respuesta de los dispositivos inteligentes. Otra modalidad es la interceptación, esto es, el robo de registros o información sanitaria, comprometiendo la confidencialidad y la privacidad de los datos. Otro tipo de ataque de interrupción es el basado en la modificación, que no es más que el acceso ilegal a los registros sanitarios y manipulación de los registros o a la información sanitaria, modificando los registros sanitarios originales. También existen los ataques de fabricación, donde se realiza una falsificación de los mensajes sanitarios originales. Finalmente se habla de los ataques de repetición, el cual consiste en un robo de los resultados de diagnóstico o soluciones sanitarias modificando la respuesta o recomendación dada al paciente con una indicación contraria o adversa.
El ataque basado en las propiedades del host es uno de las agresiones más graves, que consiste en tres tipos de ataques basados en las propiedades del host, como el lado del usuario, el lado del hardware y el lado del software. El atacante puede afectar el lado del usuario accediendo a sus redes y dispositivos sanitarios. Después de obtener acceso en el lado del usuario, el atacante revela la información sensible del usuario, como claves criptográficas, contraseñas y registros de usuario. En el caso del hardware, el atacante incide sobre los dispositivos físicos extrayendo programas, datos y claves, así como modificando el código reprogramándolo. A nivel software, el atacante afecta la parte de software del sistema y descubre los fallos de software y las vulnerabilidades del sistema. Después, obliga a los dispositivos a entrar en estados de disfunción o mal funcionamiento.
El ataque basado en las propiedades de la red es también una agresión peligrosa, que opera tanto a nivel de protocolo como de la pila de protocolos. En los ataques a protocolos específicos, el atacante afecta el protocolo violando o manipulando las políticas de seguridad como la disponibilidad del servicio de privacidad del mensaje, la autenticidad y la integridad. En el ataque a la pila de protocolos de red, el atacante ataca el protocolo de red detectando varios fallos y forzando a las capas a realizar tareas maliciosas que pueden comprometer en su globalidad la integridad y correcto funcionamiento del sistema IoMT.