En el futuro los cibercriminales tal vez puedan explotar implantes de memoria para robar, espiar, alterar o manipular recuerdos humanos. Y aunque las amenazas más radicales están a varias décadas de distancia, la tecnología esencial ya existe en forma de dispositivos para la estimulación profunda del cerebro. Los científicos están aprendiendo cómo los recuerdos se crean en el cerebro y pueden ser seleccionados, restaurados y mejorados utilizando los dispositivos implantables. Sin embargo, existen vulnerabilidades en el software y el hardware de estos equipos conectados que deben abordarse si queremos estar preparados para las amenazas que se avecinan, según un nuevo informe de los investigadores de Kaspersky Lab y el grupo de neurocirugía funcional de la Universidad de Oxford.
Los investigadores combinaron el análisis práctico y teórico para explorar las vulnerabilidades actuales existentes en los dispositivos implantados que se utilizan para la estimulación profunda del cerebro. Conocidos como generadores de pulso implantables (IPG, por sus siglas en inglés) o neuroestimuladores, estos dispositivos envían impulsos eléctricos a objetivos específicos en el cerebro para el tratamiento de trastornos como la enfermedad de Parkinson, temblor esencial, depresión seria y trastorno obsesivo-compulsivo. La generación más reciente de estos implantes viene con un software de control para los médicos y los pacientes, que es instalado en tabletas y teléfonos inteligentes de calidad comercial. La conexión entre ambos se basa en el protocolo estándar de Bluetooth.
Kaspersky Lab encontró una serie de escenarios de riesgo existentes y potenciales, cada uno de los cuales podría ser explotado por atacantes. Incluyen lo siguiente:
– Infraestructura conectada expuesta: Los investigadores encontraron una vulnerabilidad grave y varias configuraciones erróneas preocupantes en una plataforma de control en línea que es popular entre el personal quirúrgico y podrían llevar a un atacante a datos confidenciales y procedimientos de tratamiento.
– Transferencia de datos insegura o no cifrada entre el implante, el software de programación y cualquier red asociada que podría permitir la manipulación maliciosa de un paciente o incluso de grupos completos de implantes conectados a la misma infraestructura. Esta manipulación podría provocar cambios en la configuración que causaran dolor, parálisis o el robo de datos personales privados y confidenciales.
– Restricciones de diseño, ya que la seguridad del paciente tiene prioridad sobre la protección contra vulnerabilidades. Por ejemplo, los médicos deben controlar un implante médico en situaciones de emergencia, incluso cuando un paciente ingresa a un hospital lejos de su hogar. Esto excluye el uso de cualquier contraseña que no sea ampliamente conocida entre los clínicos. Además, significa que, de manera predeterminada, dichos implantes deben estar equipados con un software de ‘puerta trasera’.
– Comportamiento inseguro por parte del personal médico: Se encontró que a los programadores de software crítico para el paciente se les dejaban las contraseñas predeterminadas, que utilizaban para navegar por Internet o para descargar aplicaciones adicionales.
Abordar estas áreas vulnerables es clave, porque los investigadores estiman que en las próximas décadas, los neuroestimuladores más avanzados y una comprensión más profunda de cómo el cerebro humano forma y almacena los recuerdos, acelerarán el desarrollo y el uso de dicha tecnología y crearán nuevas oportunidades para los ciberataques.
Dentro de cinco años, los científicos esperan poder registrar electrónicamente las señales cerebrales que construyen recuerdos y luego mejorarlas o incluso reescribirlas antes de volver a colocarlas en el cerebro. Dentro de una década, los primeros implantes comerciales que mejoran la memoria podrían aparecer en el mercado y, dentro de 20 años, la tecnología podría ser lo suficientemente avanzada como para permitir un amplio control de los recuerdos.
Las nuevas amenazas que resulten de esto podrían incluir la manipulación masiva de grupos de personas por medio de recuerdos implantados o borrados de eventos o conflictos políticos, mientras que las amenazas cibernéticas «reutilizadas» podrían apuntar a nuevas oportunidades para el ciberespionaje o el robo, la eliminación o el «bloqueo» de los recuerdos (por ejemplo, a cambio de un rescate).
Dmitry Galov, investigador junior de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab, comenta: ‘Las vulnerabilidades actuales son importantes porque la tecnología que existe en la actualidad es la base de lo que existirá en el futuro. Aunque no se han observado ataques propagándose libremente contra neuroestimuladores, existen puntos de debilidad que no serán difíciles de explotar. Necesitamos reunir a profesionales de la salud, la industria de la ciberseguridad y fabricantes para investigar y mitigar todas las vulnerabilidades potenciales, tanto las que vemos hoy como las que surgirán en los próximos años’.