En el futuro, los ciberataques podrán explotar los implantes de memoria para robar, espiar, modificar o controlar memorias humanas.
Y mientras que las amenazas más radicales están todavía bastante lejos, la tecnología base ya existe en forma de dispositivos de estimulación cerebral profunda. Los científicos trabajan para entender cómo los recuerdos se crean en el cerebro y cómo pueden dirigirse, restaurarse y mejorarse utilizando esos implantes. Sin embargo, existen vulnerabilidades en el software y el hardware conectado que deben abordarse si queremos estar preparados, según un nuevo estudio de los analistas de Kaspersky Lab y el Grupo de Neurocirugía Funcional de la Universidad de Oxford que acaba de presentarse en Barcelona en la conferencia anual Kaspersky Next.
Los analistas combinaron los análisis práctico y teórico para explorar las vulnerabilidades actuales en los dispositivos implantados utilizados para la estimulación cerebral profunda. Conocidos como generadores de pulso implantables (IPG) o neuroestimuladores, estos dispositivos envían impulsos eléctricos a puntos específicos en el cerebro para el tratamiento de trastornos como la enfermedad de Parkinson, el temblor esencial, la depresión mayor y el trastorno obsesivo-compulsivo. La última generación de estos implantes viene acompañada de un software de gestión para médicos y pacientes, instalado en tablets y smartphones. La conexión entre ellos se basa en protocolo estándar de Bluetooth.
Los analistas encontraron una serie de escenarios de riesgo existentes y potenciales, cada uno de los cuales podría ser explotado. Entre estos se incluyen:
- Infraestructura conectada expuesta. Los analistas encontraron una vulnerabilidad grave y varias configuraciones erróneas serias en una plataforma de administración online muy popular en equipos médicos, que podrían dar acceso a un atacante a datos confidenciales y a procedimientos de tratamiento.
- Una transferencia de datos insegura o sin cifrar entre el implante, el software y cualquier red asociada podría permitir la manipulación maliciosa de un paciente o incluso de grupos completos de implantes (y pacientes) conectados a la misma infraestructura. La manipulación podría provocar unos cambios en la configuración que causaran dolor, parálisis o el robo de datos personales privados y confidenciales.
- Limitaciones en el diseño ya que prima la seguridad del paciente.Los médicos necesitan controlar un implante en situaciones de emergencia, por ejemplo cuando un paciente ingresa en un hospital lejos de su centro habitual. Esto impide que se utilicen contraseñas que no sean ampliamente conocida por los profesionales médicos. Además,significa que, de manera predeterminada, dichos implantes deben equiparse con un software “backdoor”.
- Comportamiento inseguro por parte del personal médico. Los programadores de software crítico para pacientes lo entregaban con contraseñas predeterminadas utilizadas para navegar por internet, o incluyendo apps adicionales descargadas en el programa.
Abordar estas áreas vulnerables es clave ya que los analistas estiman que, en las próximas décadas, los neuro-estimuladores más avanzados y una comprensión más profunda de cómo el cerebro humano forma y almacena los recuerdos acelerarán el desarrollo y el uso de dicha tecnología y crearán nuevas oportunidades para los ciber atacantes.
Dentro de cinco años, los científicos esperan poder registrar electrónicamente las señales cerebrales que construyen recuerdos, y luego mejorarlos o incluso reescribirlos antes de volver a colocarlos en el cerebro. Dentro de una década, los primeros implantes comerciales que mejoran la memoria podrían aparecer ya en el mercado y, dentro de unos 20 años, la tecnología podría estar lo suficientemente avanzada como para permitir un control amplio de la memoria.
Las nuevas amenazas resultantes de esta situación podrían incluir la manipulación masiva de grupos a través de memorias implantadas o borradas de eventos, mientras que ciberamenazas “reconvertidas” podrían apuntar hacia nuevos objetivos para el ciber espionaje o el robo, eliminación o bloqueo de los recuerdos, por ejemplo, a cambio de un rescate.
Las vulnerabilidades actuales son importantes porque la tecnología que existe ya es la base de la que existirá mañana. Aunque todavía no se ha visto ningún ataque contra los neuro estimuladores, existen puntos débiles que no serán difíciles de explotar. Así, es necesaria la colaboración de los profesionales de la salud, de la industria de la ciberseguridad y de los fabricantes, para investigar y mitigar todas las potenciales vulnerabilidades, tanto las que hoy conocemos como las que irán apareciendo en el futuro.
Laurie Pycroft, investigadora de doctorado en el Grupo de Neurocirugía Funcional de la Universidad de Oxford comenta: “Los implantes de memoria son un panorama real y emocionante que ofrece importantes beneficios médicos. La posibilidad de poder alterar y mejorar nuestros recuerdos con electrodos pueden parecer ciencia ficción, pero se basa en una ciencia sólida cuyos fundamentos ya existen hoy. Las prótesis de memoria son solo una cuestión de tiempo. Colaborar para comprender y abordar los riesgos y vulnerabilidades emergentes, y hacerlo mientras esta tecnología es relativamente nueva, dará sus frutos en el futuro”.
El vídeo mostrando cómo la tecnología de implantes de memoria podría evolucionar en las próximas décadas y el paisaje de ciber amenazas asociado, puede verse aquí.
