Um vírus no seu computador ou smartphone pode dar uma bela dor de cabeça, mas quando falamos de marcapassos, esse tipo de problema pode ter consequências muito mais sérias.

Daí a preocupação quando dois pesquisadores norte-americanos, Billy Rios e Jonathan Butts, ligados, respectivamente, às empresas de segurança Whitescope e QED Secure Solutions, apontaram que um aparelho da Medtronic, usado para atualizar dispositivos que monitoram e programam marcapassos, tinha falhas sérias de segurança.

VEJA TAMBÉM

Os marcapassos podem ser monitorados por dispositivos em consultórios médicos ou até em casa, no caso de pacientes que precisam de tratamento contínuo. Esses monitores configuram os marcapassos, o que varia de paciente para paciente. O problema é que esses monitores são atualizados por meios não seguros.

Um hacker poderia alterar o parâmetro de funcionamento de um marcapasso. Os marcapassos funcionam dando choque para regular a frequência cardíaca. Ao funcionar fora dos parâmetros, ele poderia causar um ataque cardíaco no usuário.

A Medtronic é uma das principais fabricantes de marcapassos do mundo. O aparelho hackeado é o CareLink 2090 e o problema ocorre ao atualizar o seu firmware - seu software básico.

A conexão utiliza uma rede proprietária da Medtronic, mas que não se vale de conexão HTTPS - cujos dados são criptogradados -, tampouco o firmware entregue ao aparelho tem nenhuma assinatura digital. Dessa maneira, seria possível instalar um firmware "pirata" no aparelho, o que poderia acarretar na programação incorreta de marcapassos.

Para demonstrar a falha de segurança, os dois pesquisadores não apenas foram capazes de danificar um aparelho do tipo, mas também mudaram o funcionamento de uma bomba de insulina fabricada pela Medtronic usando apenas ondas de rádio.

O maior problema apontado por Rios e Butts, no entanto, é a lentidão da Medtronic em tomar uma atitude para corrigir o problema. "Se eles simplesmente assinassem digitalmente o firmware, isso já seria resolvido", disse Rios em entrevista à "Wired".

A Medtronic, por sua vez, afirma que já tomou medidas cabíveis no passado, quando outros problemas de segurança foram apontados, mas que, desta vez, não encontrou nenhuma vulnerabilidade.

Entidades norte-americanas, como o Departamento de Segurança Doméstica e a FDA, que tem função similar à Anvisa no Brasil, também estão analisando o caso. Por ora, a FDA disse que "valoriza o importante trabalho dos pesquisadores de segurança" e que planeja criar um comitê de "cibermedicina", responsável por analisar questões do tipo.