Algunas actualizaciones de software son más dolorosas que otras. Tal ha sido el caso de unos 456.000 pacientes en Estados Unidos que tuvieron que actualizar el firmware de su marcapasos para no convertirse en potenciales víctimas de un fatal hackeo. Todos fabricados por Abbot Laboratories.

Estos pequeños dispositivos son implantados en la parte superior del corazón para corregir los ritmos cardíacos anormales o irregulares. Para evitar una cirugía posterior al implante, normalmente, los marcapasos cuentan con un pequeño programa de radiofrecuencia que permite realizar el mantenimiento de su programa de forma remota. El problema con los marcapasos de Abbott Laboratories es que presentaron defectos críticos que permiten a los hackers tomar control del marcapasos si están dentro de este radio de alcance.

"Si hubiera un ataque exitoso, una persona no autorizada (por ejemplo, un atacante cercano) podría acceder y emitir órdenes al dispositivo médico implantado a través de la capacidad de transmisión de radiofrecuencia (RF), y esos comandos no autorizados podrían modificar los ajustes del dispositivo (por ejemplo, detener el ritmo) o afectar la funcionalidad del dispositivo", escribieron los representantes de Abbott en una carta abierta a los médicos.

Para actualizar el firmware, los pacientes deben acudir a una clínica donde los médicos ponen el marcapasos en modo de copia de seguridad mientras corrigen la vulnerabilidad del programa. De acuerdo con la carta de Abbot, en el caso de algunos pacientes, la actualizaron debe realizarse "en una instalación donde el marcapasos temporal y el cambio de generador del marcapasos estén fácilmente disponibles, debido al muy pequeño riesgo estimado del mal funcionamiento de la actualización del firmware".

Ante esta situación, la Administración de Alimentos y Medicamentos de Estados Unidos (FDA, por sus siglas en inglés) emitió un comunicado avisando sobre el caso de estos 465.000 pacientes. Sin embargo, el número de afectados en otro países aún se desconoce.

Usar contraseñas o algún método similar de autenticación para asegurar el acceso vía remota solo a personas autorizadas, tampoco parece ser la mejor solución. En caso de una emergencia, los doctores necesitan tener acceso inmediato al dispositivo. Si el paciente no está en capacidades de compartir la contraseña o no su doctor de cabecera no puede responder inmediatamente, podría retrasar la implementación de un tratamiento urgente. Otra solución que han propuesto los investigadores es un dispositivo para el cuidado de la salud portátil, que utilice los rasgos fisiológicas del paciente para evitar una manipulación de hackers maliciosos.

Las fallas en el firmware de los marcapasos se dieron a conocer el año pasado a través de un aviso que fue patrocinado por la firma de inversiones Muddy Waters, que apostaba contra la existencia de St. Jude, que fue adquirida por Abbott Laboratories en enero. Dos días después de esta revelación, el precio de las acciones de St. Jude cayó un 12%. En aquél entonces, St. Jude publicó una declaración que decía que el reporte de los inversionistas era "falso y engañoso."