Más de una década ha pasado desde que empezamos a leer y a escuchar información sobre chips que se inyectan debajo de la piel para pagar sin dinero, sensores que se implantan en el cuerpo para ‘escuchar’ los colores o para sentir las vibraciones de los terremotos de la tierra, e incluso dispositivos tecnológicos de poco tamaño que se adhieren de alguna forma al cuerpo (interna o externamente) y son útiles desde el punto de vista médico. Muchos otros antes que nosotros se hicieron la misma pregunta: ¿podrían hackearnos el cuerpo o la mente?
En un momento en el que la seguridad en el ámbito digital – y también en el físico - se ha convertido en la mayor responsabilidad para usuarios y organizaciones, analizamos cuál es el grado de implantación del conocido biohacking (técnica que consiste en ‘piratear’ nuestro cuerpo a voluntad, insertando en él tecnologías diversas o utilizándolas de forma externa con la intención de mejorarlo) y hasta qué punto deberíamos temer que los ciberdelincuentes vulneren nuestros cuerpos. Puesto que el biohacking podría considerarse un hackeo en sí mismo, lo que analizamos en el presente artículo es si alguien con una intención maligna podría utilizar esta voluntad de autohackeo para ‘ciberatacar’ nuestros cuerpos.
Según explica Pablo Martínez, hacker del departamento de Red Team de Entelgy Innotec Security, y más conocido como Fall en los foros sobre ciberseguridad, “no debemos asustarnos, el biohacking no parece tan avanzado como pensamos. Existen estudios, situaciones experimentales, pero lo que conocemos hasta el momento es bastante primitivo y no deja opción a muchas posibilidades para que un ciberdelincuente nos hackee el cuerpo con un objetivo malicioso. Por el momento no llevamos el smartphone dentro de nuestra cabeza ni nos pueden meter un virus dentro”.
Tecnologías implantables más inseguras
Posiblemente, en la actualidad aún sea más vulnerable nuestro teléfono móvil que un chip experimental inyectado bajo la piel, puesto que ese chip, aunque susceptible de ser hackeado, tiene una función muy limitada, mientras que el teléfono móvil está expuesto a innumerables amenazas.
La mayor parte de las tecnologías implantables, a excepción de las médicas, consisten en un pequeño dispositivo que se introduce en una cápsula que tu cuerpo no rechaza en un primer momento y que se inyecta en la piel. ¿Son inseguras? Mucho. ¿Podrían hackearse? Sí. ¿Podríamos entender que, al llevar un chip bajo la piel de nuestra mano, esta podría ser hackeada? También. Sin embargo, Fall prefiere establecer diferencias. “Lo que se puede hackear es la tecnología, no el cuerpo en sí mismo. Un dispositivo vulnerable podrá ser hackeado tanto fuera como dentro del cuerpo. A lo que hay que poner atención es a la seguridad de la tecnología que tratamos de implantarnos”, puntualiza este profesional.
En el espectro de la tecnología implantable, ¿cuál es la más insegura y, por tanto, hackeable? Analizamos las más conocidas:
- La tecnología RFID (de Identificación por Radiofrecuencia) es, posiblemente, la más extendida. Permite que varios dispositivos se identifiquen y entren en contacto mediante la emisión y lectura de ondas de radio. Son tecnologías de baja frecuencia. “Esto hace que un atacante pueda ‘leer’ la información de un chip que funciona con RFID, pudiendo hacer un clon en otro chip que él tenga o en un emulador RFID”, explica Fall. Entre otros ejemplos, están los chips que se utilizan para identificar mascotas o para abrir puertas. Estos últimos se pueden llevar dentro de la mano o de forma externa. “No los he visto abrir la puerta de una casa, pero sí en controles de acceso empresariales y en portales. Un chip seguro necesita de un lector también seguro, y eso puede ser muy caro. Muchas entidades con grandes despliegues no están interesadas en invertir en esto, por lo que establecen controles de acceso baratos y muy inseguros”.
- Las comunicaciones inalámbricas por NFC (Comunicación de Corto Alcance) suelen tener un grado de seguridad mayor que el caso anterior, aunque por regla general también son inseguras. Se encuentra dentro de la rama de la tecnología RFID, pero en ella los componentes operan y se comunican a mayor distancia que en el caso de los de NFC. Ya hay quien se implanta esta tecnología para, por ejemplo, intercambiar su ‘tarjeta de contacto’, para comprar comida en máquinas de vending o fichar en el trabajo. Las tarjetas de crédito cedidas por entidades bancarias en España, sin embargo, también funcionan con NFC de alta frecuencia y se consideran dispositivos seguros.
- Los dispositivos médicos implantables: existen otros dispositivos implantables, normalmente obligatorios para ciertas personas, con objetivos médicos y cuya seguridad es necesaria. Entre ellos, los marcapasos siempre han estado en el punto de mira. “Especialmente los antiguos, de los que hay registro de vulnerabilidades. Hace años utilizaban el método de seguridad por oscuridad. Es decir, el marcapasos trabajaba en una frecuencia que nadie conocía y, por tanto, no era fácil de hackear. Con el paso del tiempo, esa seguridad dejó de ser efectiva. En el mismo momento en el que estos aparatos acabaron por venderse en sitios online supimos cómo funcionaban. Además, una vez implantados, estos dispositivos deben ser configurados inalámbricamente”. En los últimos años también se han detectado vulnerabilidades en desfibriladores cardiacos implantables (que corrigen y monitorizan ritmos anómalos). Estos fallos de seguridad permitían tomar el control de los pequeños dispositivos.
Aunque el objetivo de los cibercriminales rara vez es el de afectar a la salud de un paciente de manera directa, esto puede ser una consecuencia de algunos de sus actos, especialmente del ciberataque a hospitales. De acuerdo con el reciente informe 'Good practices for the security of healthcare services', de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), “los dispositivos médicos implantables en pacientes, como holters, bombas de insulina, marcapasos, estimuladores gástricos y cerebrales; e incluso wereables como medidores de glucosa, entre otros, están conectados electrónicamente a los sistemas digitales de los hospitales”.
Cualquier ciberataque contra los sistemas digitales de un hospital conllevará un ataque a la seguridad de todos los dispositivos médicos que estén conectados a su red, tanto de manera física como digital. También a los dispositivos implantados en pacientes. “Hoy gran parte del software médico está fuera de soporte y muchos de los sistemas que se utilizan son anticuados y están profundamente implantados. Existe un gran riesgo al exponer la maquinaria y herramientas de un hospital a todas las amenazas del entorno digital”, especifica Alejandro Villar, Global Director of OT Cybersecurity en Entelgy Innotec Security.
Fall agrega que todo lo relacionado con comunicaciones inalámbricas, radiofrecuencia, wifi o bluetooth “pinta mal”. “Los riesgos de seguridad aumentan exponencialmente cuando te comunicas inalámbricamente, un espectro donde cualquiera puede intervenir en esa comunicación. Además, implantarse en la piel un chip RFID o NFC, cuando existe un homólogo para realizar la misma función de manera externa, es innecesario”, opina.
A pesar de estos ejemplos, aunque a los apasionados de la tecnología les encanta soñar con un mundo en el que los cíborgs comparten escenario con los humanos, y en el que la tecnología se asume dentro del cuerpo y de la mente como un ente completamente integrado, parece que el futuro que todos esperan aún no ha llegado. Tal vez para cuando eso ocurra, tanto usuarios como organizaciones estén más preparados para enfrentarse a los peligros que vienen y agarrarse a la ciberseguridad como a un salvavidas.
