Mejoran la seguridad de los dispositivos médicos implantados en pacientes

Investigadores de la Universidad Politécnica de Madrid y otros centros de España e Irán han diseñado protocolos de autenticación para la comunicación entre dispositivos médicos que utilizan la tecnología de identificación por radiofrecuencia (RFID). El objetivo es mejorar la seguridad y privacidad de los datos de los pacientes.

Esquema del proceso de autenticación
Esquema del proceso de autenticación. / UPM

Un equipo de investigadores de la Escuela Técnica Superior de Sistemas Informáticos de la Universidad Politécnica de Madrid (UPM), la Universidad Carlos III de Madrid y la Universidad de Tehran (Irán) proponen dos nuevos protocolos de autenticación que garantizan la privacidad y la seguridad en las comunicaciones entre dispositivos médicos implantados en los pacientes a través de la Identificación por Radio Frecuencia (RFID).

Los sistemas RFID se utilizan para el control de acceso a edificios, control de flotas y mercancías, sistemas de transporte, sistemas de pago sin contacto o las propias tarjetas universitarias de la UPM. En el ámbito médico todavía no se utiliza mucho, pero tiene un futuro prometedor para seguir a los pacientes de manera automática, controlar las dosis de los medicamentos o comunicarse con dispositivos implantados en el cuerpo como marcapasos, bombas de insulina, o implantes cocleares.

La integración de los sistemas de eHealth con tecnología RFID ayuda a reducir costes y mejorar los tratamientos

Las nuevas propuestas están basadas en los estándares ISO. Según sus promotores, conseguir la integración de los sistemas de eHealth con la tecnología RFID contribuirá a reducir costes y a mejorar el seguimiento y tratamiento de los pacientes.

En general, un sistema basado en RFID se compone de una base de datos, un lector y tarjetas. La comunicación entre el lector y la base de datos se considera segura. En cambio, la que se establece entre una tarjeta y el lector se efectúa mediante un canal de comunicación susceptible de ser espiado por una tercera parte, un atacante, que podría llegar a modificar la información que se transmite por este canal. Por este motivo su implantación se ha puesto en tela de juicio, especialmente en entornos médicos.

Según su naturaleza, las tarjetas o etiquetas RFID se clasifican en activas, semiactivas o pasivas. Las primeras poseen una fuente de alimentación propia, pudiendo llegar a transmitir a distancias muy altas, no tienen restricciones computacionales y son además los más caros. Las tarjetas semiactivas pueden obtener energía a través de una fuente propia o a través del lector, transmiten a menor distancia y son más baratas.

Estudio de tarjetas pasivas

Por su parte, los RFID pasivos son aquello que no poseen fuente de energía y necesitan de un lector para poder transmitir información, son los más baratos, transmiten a unos pocos centímetros y poseen fuertes restricciones computacionales.

La comunidad científica se ha centrado en proponer nuevos protocolos que aseguren la comunicación utilizando etiquetas pasivas por ser un reto ya que no admiten protocolos criptográficos convencionales. Existen tan solo un total de 1200 puertas lógicas destinadas para asegurar la comunicación entre etiquetas y lectores.

Sin embargo, en la gran mayoría de protocolos propuestos, la información perteneciente a los usuarios ha sido comprometida. Generalmente esto se debe a dos factores: la falta de estándares en protocolos de seguridad y los análisis de seguridad no formalizados o poco rigurosos.

Para evitar estos errores, el equipo propone protocolos de seguridad basados en estándares de RFID (ISO/IEC 9798 y 11770) así como en unas recomendaciones públicas realizadas por el Instituto Nacional de Estándares y Tecnología Americano (NIST), necesarias para evitar que los datos almacenados en estos dispositivos se vean comprometidos ante ataques informáticos.

Referencia bibliográfica:

Picazo-Sanchez, P; Bagheri, N; Peris-Lopez, P; Tapiador, JE. "Two RFID Standard-based Security Protocols for Healthcare Environments". Journal of Medical Systems 37 (5):10.1007/s10916-013-9962-3 octubre 2013.

Fuente: Universidad Politécnica de Madrid
Derechos: Creative Commons
Artículos relacionados