Uno de los principales problemas que impiden que se realicen cirugías con las que salvar vidas en muchas partes del mundo es la falta de cirujanos con formación. Un modo de evitarlo es haciendo un mejor uso de los que están disponibles.

Transportarlos a través de largas distancias para realizar operaciones resulta claramente ineficiente por el tiempo que hay que pasar viajando. Así que una alternativa cada vez más importante es la posibilidad de hacer telecirugía con un experto en un solo lugar que controle un robot en otra ubicación que realice físicamente los cortes necesarios. De hecho, la venta de robots médicos está creciendo a un ritmo del 20% anual.

Sin embargo, aunque las ventajas son claras, las desventajas se han explorado un poco menos. La telecirugía está basada en tecnologías de vanguardia en campos tan diversos como la informática, la robótica, las comunicaciones, la ergonomía y varios otros. Y cualquiera familiarizado con estas áreas sabe bien que pueden producirse fallos.

Tamara Bonaci y varios compañeros de la Universidad de Washington en Seattle (EEUU) acaban de examinar los peligros especiales asociados con la tecnología de comunicaciones que se usa en la telecirugía. En particular, muestran cómo un atacante malicioso es capaz de alterar el comportamiento de un telerrobot durante la cirugía e incluso hacerse con el control de un robot de este tipo. Esta es la primera vez que un robot médico ha sido hackeado de esta forma.

La primera telecirugía tuvo lugar en 2001, y un cirujano en Nueva York (EEUU) retiró con éxito la vesícula biliar de un paciente en Estrasburgo (Francia) a más de 6.000 kilómetros de distancia. Las comunicaciones se realizaron a través de una fibra exclusiva proporcionada por una compañía de telecomunicaciones específicamente para la operación.

Es una opción cara ya que las fibras exclusivas pueden costar decenas de miles de dólares.

Desde entonces, los cirujanos han llevado a cabo muchas operaciones remotas y han comenzado a experimentar con enlaces de comunicaciones comunes a través de internet, que son mucho más baratos.

Aunque no se han registrado incidentes en los que la infraestructura de comunicaciones haya causado problemas durante una operación de telecirugía, hay cuestiones de seguridad y privacidad que nunca han sido contestadas completamente.

Así que Bonaci y su equipo se dispusieron a explorar algunas de estas cuestiones usando un robot de telecirugía llamado Raven II, desarrollado en la Universidad de Washington (EEUU). Raven II está diseñado con el objetivo de reducir radicalmente el tamaño de estos robots y al mismo tiempo mejorar su durabilidad para que puedan ser usados en ambientes extremos.

El robot tiene dos brazos quirúrgicos que el cirujano manipula usando una consola de última tecnología con feedback de vídeo y háptico.

El robot mismamente funciona con un solo PC y software basado en estándares abiertos como Linux y el Sistema Operativo para Robots. Se comunica con la consola de control usando un protocolo de comunicaciones estándar para cirugía a distancia conocido como Protocolo de Telecirugía Interoperable.

Esta comunicación se realiza a través de redes públicas a las que en potencia puede acceder cualquiera. Y puesto que el robot está diseñado para funcionar en condiciones extremas, este enlace de comunicaciones puede ser una conexión de baja calidad a internet, incluso inalámbrica.

Y ahí está el riesgo. "Debido a la naturaleza abierta e incontrolable de las redes de comunicación, es fácil que entidades maliciosas puedan entorpecer, interrumpir o hacerse con el control de la comunicación entre un robot y un cirujano", señala Bonaci.

Así que eso es exactamente lo que intentaron hacer. Bonaci y sus colegas probaron varios tipos de ciberataque en el robot para ver con qué facilidad se podía interrumpir.

El experimento fue relativamente sencillo. En vez de una operación real, el operador tenía la tarea de mover bloques de goma de una parte de un tablero a otra. Después, el equipo midió la rapidez con la que el operador pudo completar la tarea durante un ataque y el grado de dificultad con el que varios operadores valoraron la tarea.

La consola de control se conectó al robot través de una red estándar, a la que el equipo atacante también estaba vinculado. Esta configuración permitió que el equipo atacante interceptase y manipulara las señales enviadas en ambas direcciones entre la consola de control y el robot.

El equipo intentó tres tipos de ataques. El primero cambió los comandos enviados por el operador al robot mediante su supresión, retraso o reordenación. Esto hizo que el movimiento del robot fuera a tirones y difícil de controlar.

El segundo tipo de ataque modificó la intención de las señales del operador al robot cambiando, por ejemplo, la distancia a la que un brazo debía moverse o el grado con el que debía girar, y así sucesivamente. "La mayoría de estos ataques tuvieron un impacto notable en Raven inmediatamente después lanzarse", asegura Bonaci.

La última categoría de ataque fue un secuestro que tomó completamente el control del robot. Resultó ser relativamente fácil, ya que el Protocolo de Telecirugía Interoperable está disponible públicamente. "Tomamos el control efectivo del procedimiento teleoperado", afirman.

Incluso averiguaron cómo generar movimientos que activaron un mecanismo de detenimiento automático integrado en el robot. Esto ocurre cuando un movimiento hace que los brazos vayan más allá de cierta distancia predefinida o que se muevan demasiado rápido.

Al enviar constantemente comandos que desencadenaron este mecanismo, el equipo fue capaz de realizar una especie de ataque de denegación de servicio. "Fuimos capaces de evitar fácilmente que el robot se reiniciara adecuadamente, lo que hizo que el procedimiento quirúrgico fuera efectivamente imposible", señalan.

Y si este tipo de ataque cibernético no fuera suficientemente problemático, la conexión de vídeo también estaba disponible públicamente, lo que permitió que casi todo el mundo pudiera ver la operación en tiempo real.

No es difícil imaginar que ciberataques de este tipo puedan tener consecuencias mortales. Incluso el ataque de denegación de servicio en un momento crucial durante un procedimiento quirúrgico podría ser mortal.

Después de haber visto la eficacia de este tipo de ciberataques, Bonaci y su equipo también sugieren formas de prevenirlos. La más obvia es cifrando las comunicaciones entre la consola de control y el robot.

Incluso probaron la idea y dicen que el robot funcionó como se esperaba. "El uso de cifrado y autenticación tiene un bajo coste y altos beneficios para la cirugía telerobótica, y logra mitigar muchos ataques analizados", concluyen.

Sin embargo, el cifrado no puede evitar todos los tipos de ataque. En particular, sigue permitiendo ataques de intermediario (man-in-the-middle) en los que un intruso intercepta señales en ambas direcciones y engaña a ambas partes para que crean que siguen comunicándose.

Y el cifrado de vídeo probablemente no sea práctico para los tipos de enlaces de red previstos para la cirugía remota en lugares extremos. Puede que no sea un problema de seguridad, pero sí plantea cuestiones importantes sobre la privacidad.

Es un trabajo interesante que tiene profundas implicaciones no sólo para la forma en que se realizará la telecirugía, sino en el modo en que el público percibe la seguridad y privacidad de estos sistemas.

Los operadores de telecirugía tendrán que evaluar la seguridad de sus equipos. Y los responsables políticos y el público tendrán que llegar a sus propias conclusiones sobre qué tipo de seguridad y privacidad resulta aceptable. De cualquier manera, seguiremos jugando al gato y el ratón en cuanto a la ciberseguridad.

Ref: arxiv.org/abs/1504.04339: To Make a Robot Secure: An Experimental Analysis of Cyber Security Threats Against Teleoperated Surgical Robotics