Dispositivos médicos eletrônicos na mira dos hackers

Por Bernardo de Azevedo e Souza

O ano de 1958 foi um verdadeiro marco para a humanidade: pela primeira vez, um dispositivo eletrônico havia sido implantado no corpo humano. O procedimento histórico foi realizado por dois médicos suecos (Rune Elmqvist e Åke Senning), que instalaram, na cavidade abdominal do engenheiro Arne Larsson, o primeiro marca-passo cardíaco artificial. Do tamanho de um disco de hóquei, o dispositivo apresentou uma série de problemas técnicos – chegando a parar de funcionar 3 horas após a colocação –, mas, ao final, conseguiu orientar o coração de Larsson a bater normalmente. Graças ao dispositivo, o engenheiro viveu por mais 43 anos.

A medicina concretizou grandes avanços desde então, e os volumosos aparelhos de outrora receberam incontáveis aprimoramentos no que diz respeito à portabilidade, eficácia e duração da bateria. Pequenos, inteligentes e não intrusivos, os modelos da atualidade transmitem remotamente informações críticas para os médicos, possibilitando o monitoramento e até mesmo a reprogramação por meio de técnicos.

À semelhança dos marca-passos, uma diversidade de dispositivos médicos eletrônicos é utilizada hoje em todo o mundo. Cada um desses instrumentos tem, em verdade, a própria finalidade terapêutica dentro do corpo humano, mas todos se comunicam com o mundo externo por protocolos de radiofrequência populares, tais como o Bluetooth e o Wi-Fi. Nos Estados Unidos, milhões de pessoas já foram equipadas com os aparelhos, e cerca de 300 mil pacientes recebem dispositivos wireless todos os anos (a nova-iorquina Carol Kasyjanski, no ano de 2009, foi a primeira pessoa a receber o implante de um marca-passo sem fio).

Os avanços tecnológicos conquistados na área médica são, assim, inegáveis. Implantes cocleares proporcionam aos pacientes uma melhor sensação auditiva; cardioversores desfibriladores implantáveis permitem que médicos monitorem eletrocardiogramas em tempo real, sem necessidade de consulta presencial; neuroestimuladores emitem sinais elétricos leves para o espaço epidural (próximo à coluna vertebral), reduzindo dores crônicas causadas por lesões irreversíveis; bombas de insulina enviam pequenas doses do hormônio a diabéticos, de forma precisa, contínua e pré-programada, mantendo o controle glicêmico entre as refeições e ao longo da noite. Os dispositivos médicos eletrônicos trazem consigo o amplo potencial de salvar milhões de vidas diariamente.

Mas a tecnologia, ao mesmo tempo em que oferece benefícios, provoca riscos, incertezas e inseguranças. O número de recalls dos dispositivos tem crescido nos últimos anos; entre 2004 e 2014, a quantidade duplicou em solo norte-americano. Além das graves consequências para a saúde, os dispositivos apresentaram defeitos relacionados à informática. Em algumas clínicas e hospitais estadunidenses, constataram-se aparelhos de ressonância magnética e respiradores mecânicos infestados por vírus computacionais, vulnerabilidades estas que poderiam ser exploradas por pessoas mal-intencionadas. Embora, para muitos, fosse difícil de acreditar, assim como um computador pode entrar em pane, o mesmo poderia ocorrer com os dispositivos médicos dos quais depende a vida de milhões de pacientes. Um risco que, certamente, ninguém gostaria de correr.

Talvez a maior preocupação, ao tratarmos de dispositivos médicos, seja o fato de que quanto mais implantamos minúsculos computadores em nosso corpo para monitorar e melhorar nossa saúde, mais oportunidades criamos para que ele seja invadido por hackers[1]; quanto mais conectamos a tecnologia da informação com a nossa biologia, mais permitimos que esses instrumentos sejam subvertidos para fins ilícitos. Não se deve olvidar que muitos dispositivos médicos eletrônicos são comercializados sem qualquer mecanismo de segurança, para a infelicidade de seus usuários (GOODMAN, 2015, p. 285).

Estamos, em definitivo, vivendo uma era em que tudo pode ser hackeado. Computadores, smartphones, câmeras e até mesmo veículos. A natureza da ameaça cibernética mudou drasticamente nos últimos 25 anos: se, nos primórdios da computação pessoal, os hackers agiam principalmente por diversão e brincadeira – invadindo sistemas de informática apenas para provar que eram capazes de fazê-lo –, hoje estão, mais do que nunca, motivados por dinheiro, poder e informação.

Nesse cenário, por mais surpreendente que possa parecer, a possibilidade de hackear um marca-passo nunca foi tão real. Em 2012, um conhecido hacker chamado Barnaby Jack conseguiu subverter uma variedade de dispositivos digitais, desde caixas eletrônicos até marca-passos. Ao analisar os utensílios médicos produzidos pelos fabricantes, Jack encontrou graves falhas de software, as quais lhe permitiram assumir o controle. Por meio de um laptop, a 15 metros de distância, o hacker provou ser possível acionar remotamente um desfibrilador implantado e aplicar um choque elétrico de 830 volts no coração de uma pessoa (no demonstrativo, um tronco de silicone), potência suficiente para matar um paciente com marca-passo instalado (assista aqui).

Na série televisiva Homeland, transmitida pelo canal Showtime, há uma cena em que o terrorista Abu Nazir executa William Walden, o vice-presidente dos Estados Unidos, pela Internet. Na passagem, um hacker assume o controle do desfibrilador cardíaco implantado no peito de Walden (assista ao vídeo aqui). Em artigo publicado no blog IOActive (veja aqui), o hacker Barnaby Jack não apenas confirmou, mais uma vez, que tal modalidade de ataque é absolutamente viável na atualidade, como ainda rechaçou o “amadorismo” com que o procedimento foi executado em Homeland: “TV is so ridiculous! You don’t need a serial number!”

Ainda que não se tenha, até o presente momento, notícias de ataques cibernéticos envolvendo dispositivos médicos eletrônicos, as organizações criminosas provavelmente voltarão seus esforços para este novo âmbito, sobretudo nos próximos anos, na medida em que em tais aparelhos estão paulatinamente se tornando parte daquilo que se convencionou denominar Internet das Coisas[2]. E o Brasil, ao que tudo indica, será um local perfeito para a prática da nova criminalidade. As empresas nacionais perdem mais dinheiro pelos cibercrimes do que por todas as outras formas. Em 2014, os crimes cibernéticos custaram bilhões de dólares aos negócios brasileiros (aqui e aqui).

Na medida em que o número dos dispositivos conectados à rede crescer exponencialmente, poderemos esperar as mais diversas práticas delitivas. Como alerta o futurista Marc GOODMAN (2015, p. 287), uma pessoa com um marca-passo Wi-Fi poderá ser chantageada a entregar seus bens ou a realizar uma transferência bancária, sob pena de receber uma descarga elétrica no coração. O golpe do “falso sequestro”, hoje já conhecido pela sociedade em geral, mas ainda apto a ludibriar alguns incautos, poderá ter sua “trama” modificada, abrangendo as características e propriedades dos dispositivos médicos. Se você recebesse uma ligação de alguém exigindo determinada quantia em dinheiro, sob pena de receber choque elétrico de seu marca-passo, qual seria sua decisão? Seria preferível atender as exigências em seus exatos termos ou colocar à prova a palavra da pessoa que está do outro lado da linha?

E se o paciente recebesse a descarga elétrica e viesse a sofrer uma parada cardíaca? Qual médico aceitaria realizar o procedimento cirúrgico, correndo o risco de receber choques de 830 volts na eventualidade de o hacker continuar manipulando o marca-passo? Qual profissional estaria disposto a lidar com uma “bomba-relógio” prestes a explodir a qualquer momento? A solução seria deixar o paciente morrer? E o corpo levado ao necrotério seria, afinal, examinado por quem? Médicos legistas ou técnicos de computação forense? Terão estas pessoas a habilidade necessária para detectar a causa da morte? São questionamentos trazidos, por ora, tão somente para reflexão, mas que poderão ser dúvidas concretas num futuro não tão distante.

Os dispositivos médicos eletrônicos nos levam a ingressar, de um modo ou de outro, numa era em que nosso corpo estará exposto a ataques cibernéticos pela primeira vez. Todos os dias nos conectamos com maior intensidade à rede global da informação. A dependência pelos aplicativos móveis está aumentando, e a tendência é que o cenário se agrave na sociedade acelerada em que vivemos. Como enfrentar os riscos que o futuro nos reserva? Como permanecer seguros em um mundo que se move tão rapidamente?

Aparentemente, estamos muito longe de desenvolver um plano de contingência.

NOTAS

[1] Deve-se destacar que a opção pela terminologia hacker no presente texto tem uma conotação puramente didática, com o intuito de facilitar a compreensão do leitor sem a exposição das diversas nomenclaturas existentes no universo informático, sobretudo a dicotomia entre as expressões hacker e cracker.

[2] Cunhado em 1999 por Kevin Ashton, pesquisador do Massachusetts Institute of Technology (MIT), o termo Internet das Coisas é utilizado para representar uma revolução tecnológica “invisível” que está se consolidando aos poucos. A ideia principal consiste em conectar os objetos da vida cotidiana (como smartphones, eletrodomésticos, eletroeletrônicos, meios de transportes, roupas e maçanetas) à rede mundial de computadores, possibilitando que todos estes itens se comuniquem entre si e sejam gerenciados por computadores.

REFERÊNCIAS

GOODMAN, Marc. Future crimes: tudo está conectado, todos somos vulneráveis e o que podemos fazer sobre isso. Trad. Gerson Yamagami. São Paulo: HSM Editora, 2015.