La importancia de la ciberseguridad en brain-computer interfaces

La importancia de la ciberseguridad en brain-computer interfaces

12 Min.
Media
Por El equipo de Bitbrain
21 de noviembre, 2018

El crimen organizado digital a nivel mundial es una actividad ya más lucrativa que el tráfico de drogas o de armas. Si hoy en día se pagan entre $38 y $250 por historiales de navegación o médicos, ¿cuánto se pagaría por conocer los gustos íntimos o las enfermedades potenciales de una persona?, y ¿hasta dónde se podría llegar si esta información fuese de una persona con gran relevancia pública como el presidente de un país? Estamos entrando en la era de los interfaces cerebro-computador, tecnología que tiene acceso a información neural de los usuarios, tecnología capaz de definir con una precisión sin precedentes los perfiles de los usuarios, tecnología capaz de generar la mayor desigualdad imaginable de poder entre empresas terceras y sus clientes. Esto genera un reto sin precedentes en ciberseguridad: ¿cómo mitigar las nuevas formas de extorsión que introducirá el tráfico de datos neurales? ¿cómo evitar las nuevas maneras de poder generar daño físico o mental con los interfaces neurales?

Hace unos 40 años empezaron los primeros prototipos de carácter científico que demostraban aplicaciones de interfaces cerebros-computador (o brain-computer interface, BCI en inglés): tecnología capaz de leer la actividad cerebral y descifrar algún tipo de pensamiento para realizar tareas de interacción hombre-máquina. Tareas que iban desde el control de dispositivos como una silla de ruedas hasta intervenciones médicas para neurorehabilitación cognitiva. En los últimos 10 años, algunas de estas investigaciones científicas han empezado a llegar a la sociedad de la mano de empresas que han sabido desarrollar dispositivos de medición de la actividad cerebral. Wearables, cómodos y accesibles que empiezan a penetrar nuestra vida diaria.

Según grandes consultoras, como Stratserv Consultancy, el consumidor común comprará y utilizará en masa tecnologías comercializadas con funciones de interfaz de computadora cerebral entre 2025 y 2030. También de acuerdo con la proyección de Stratserv Consultancy, la tecnología de la pantalla táctil comenzará a disminuir en su uso masivo con la comercialización masiva de los interfaces cerebro-computador, algo que ocurrirá junto con la adopción masiva de la proyección holográfica o dispositivos visuales, comunicación sin voz y sistemas HMDs. Las posibilidades de los interfaces cerebro computador son infinitas: gaming, control domótico (tecnología adaptada a nuestra vivienda), salud o automoción entre otros. Razón por la cual, actualmente, un gran número de empresas han detectado esta oportunidad y se han sumado al auge de esta tecnología. Desde grandes empresas como Nissan con su brain-to-vehicleFacebook con su “teclado mental”Microsoft con sus nuevas patentes, o nuevas startups financiadas millonariamente como Neuralink the Elon Musk o Kernel de Bryan Johnson.

La interfaz cerebro-computador es una prometedora tecnología que tiene algo que la hace única: tiene acceso a los datos neurales de una persona, una información extremadamente sensible tanto por su carácter vinculado a salud, como por el vinculado a los pensamientos íntimos y privados de la persona. Balusian (empresa de consultoría TI y ciberseguridad) y Bitbrain (experta en neurotecnología y BCI), han profundizado en aspectos clave de ciberseguridad para esta tecnología, tratando de responder a estas dos cuestiones:

  1. ¿Cómo esta tecnología puede exponer nuestra actividad cerebral a terceros generando nuevos problemas de privacidad y seguridad?
  2. ¿Qué soluciones deberían de tomar fabricantes y gobiernos para proteger a los ciudadanos de estos nuevos escenarios de ciberataque?

¿Qué es una interfaz cerebro-computador (BCI) no invasiva?

EEG Diadem

Una BCI nos permite traducir en tiempo real la actividad cerebral en órdenes que pueden ser utilizados para controlar dispositivos, siendo el electroencefalograma (EEG) la tecnología de medición no invasiva más desarrollada. Los sistemas basados en EEG humano se han usado para controlar el ratón de un computador, como buscador de internet o control de prótesis robóticas entre otros muchos.

Actualmente, el auge de las tecnologías móviles, la comunicación y la computación en la nube están haciendo evolucionar muy rápido esta tecnología, permitiéndole así explorar nuevas aplicaciones impensables hace unos años. Por ejemplo, por un lado ya hay en mercado equipos B2C tipo gadget como NeuroskyEmotiv o Muse muy orientados al entretenimiento y el bienestar, y por otro equipos B2B muy fiables pero cómodos y fáciles de usar como los de Bitbrain. En ambos casos, es una realidad que las aplicaciones de BCI están penetrando nuestra sociedad.

 Una solución de BCI basada en EEG tiene una arquitectura como la que se muestra a continuación, la cual nos va a ayudar a identificar los puntos de riesgo de la tecnología:

Architecture estándar de solución BCI

Imagen: Arquitectura estándar de solución BCI

El elemento clave es el dispositivo de electroencefalografía o EEG (1), tecnología que se coloca en la cabeza y cuyos sensores no invasivos miden la actividad eléctrica del cerebro en las diferentes áreas donde estos estén colocados. Como dicho dispositivo tiene usualmente limitaciones de hardware y no puede procesar los datos del EEG (2), los cuales se envían a un dispositivo de control cercano (3) que usualmente tiene la forma de una aplicación en un smartphone, tablet u ordenador. Este equipo recoge la actividad cerebral, la procesa y almacena; también puede interaccionar con el usuario a través de diferentes medios, enviando directamente estímulos visuales o somatosensoriales al usuario (4’), o enviando comandos a otros dispositivos (4) como una prótesis motora. Algunas aplicaciones envían algunos de estos datos (5) a un dispositivo de control remoto (6) que usualmente toma la forma de servidor en la nube. Estos servidores o bien realizan tareas de almacenamiento o computación masiva de datos, o bien de un procesamiento de datos que requiere otros datos que se encuentran en el servidor. Eventualmente, estos servidores pueden enviar información (7) al dispositivo de control cercano para cambiar su funcionamiento con ese usuario.

Hay 3 tipos de aplicaciones que siguen esta arquitectura, y en la que se incluyen todos los interfaces cerebro-máquina:

  1. Monitorización: abarca todo el abanico de aplicaciones relacionadas con recoger la actividad del cerebro de forma pasiva para identificar patrones relacionados con nuestra actividad cognitiva, emocional o motora. 
  2. Evaluación/Diagnóstico: procesar la actividad cerebral para poder evaluar capacidades cognitivas o emocionales en base a patrones cerebrales. Además, también se pueden identificar patrones anormales relacionados con patologías mentales como puede ser la depresión o la epilepsia.
  3. Interacción/Intervención: procesar la actividad cerebral en tiempo real para interaccionar con un dispositivo como puede ser un teclado en la pantalla. Cuando esta interacción tiene un objetivo de rehabilitación se suele hablar de intervención.

Los usos que pueden tener las soluciones BCI pueden ser muy diversos y recogen desde ámbitos médicos (por ejemplo para diagnosticar enfermedades neurológicas, tratar fobias o realizar rehabilitación cognitiva en demencia, en demencia, TDAH y personas mayores; o neurorehabilitación para recuperar movilidad con neuroprótesis en personas que tienen discapacidad de movimiento), entretenimiento (videojuegos que ofrecen interfaces conectadas directamente con el cerebro), servicios de neuromarketing, o de bienestar (como el entrenamiento cognitivo). Otras industrias como el automóvil también han adoptado esta tecnología, como es el caso de Nissan y su solución Brain-To-Vehicle que provee el primer sistema de detección y análisis en tiempo real de la actividad del cerebro relativa a la conducción.

¿Qué es la ciberseguridad?

La ciberseguridad es una disciplina informática que abarca diferentes medidas y actividades con el objetivo de proteger las infraestructuras tecnológicas y la información que se genera, procesa, transmite y se almacena en dichas infraestructuras. La protección se focaliza las diferentes dimensiones de la seguridad y tipos de peligro, que suelen ser, como mínimo, la confidencialidad, la integridad y la disponibilidad. La confidencialidad persigue mantener alejada de otros la información que consideramos valiosa (datos de usuarios, empleados o proveedores, informes de ventas o patentes) mediante técnicas de cifrado y de control de acceso, o uso de firewalls. La integridad implica que los datos no se vean afectados por errores o por modificaciones malintencionadas (modificación de pagos y transacciones, alteración del contenido de correos electrónicos, inyección de código malicioso en aplicaciones), mediante el uso de firmas, control de versiones, sistemas antivirus y antimalware. Finalmente, la disponibilidad hace referencia a la necesidad de que la información esté accesible para quienes lo requieren, a través de sistemas de redundancia y alta disponibilidad, protección frente a ataques externos y sistemas de recuperación en caso de fallos.

Garantizar la seguridad implica poner en marcha diferentes medidas o controles de prevención y protección, así como la detección y respuesta frente a incidentes de seguridad. Existen diferentes marcos que ayudan a identificar cuáles son los controles y medidas más adecuados, (ISO 27001:2013NIST Cybersecurity FrameworkCIS Critical Security Controls). Una característica común a todos ellos es el enfoque de riesgos que emplean, donde el riesgo es entendido como la materialización de un ataque al sistema que puede llegar a explotar las vulnerabilidades (o debilidades) que ofrecen dichos sistemas generando con ello un impacto.

Riesgo Ciberataque Vulnerabilidad Impacto

Imagen: enfoque de riesgos de la ciberseguridad

En el presente trabajo se han considerado los riesgos relacionados con la privacidad y la seguridad de los interfaces cerebro-computador, los cuales están relacionados con dos aspectos esenciales:

  1. La naturaleza de los datos EEG, que puede ser monetizada a través de la venta a terceros o mediante extorsión a usuarios.
  2. El hecho que se hayan creado nuevos canales de comunicación con el cuerpo a través de los cuales generar ataques contra el usuario.

Escenarios de riesgo de ciberseguridad relacionados con la privacidad de las interfaces cerebro-computador

La información que puede generar la tecnología en ámbitos de monitorización o de diagnóstico de cada persona es muy sensible, y por tanto tiene un valor potencial muy relevante.

En aplicaciones de monitorización, el EEG se utiliza de forma controlada para conocer las reacciones emocionales o cognitivas de las personas en ámbitos de marketing o publicidad. Determinados marcadores en el EEG como la asimetría en alfa, o los N100, P200, N200, P300, pueden permitir conocer las emociones, preferencias o gustos de una persona hacia opciones políticas, orientación sexual, consumo, etc; o incluso acceder a sus capacidades cognitivas como la memoria, aprendizaje, o resolución de problemas entre otras.

En aplicaciones de diagnóstico, los resultados de un EEG pueden detectar comportamientos anómalos del cerebro como epilepsia, hemorragias, desórdenes del sueño, encefalitis, tumoresmigrañas, o el abuso de drogas o alcohol. En última instancia se está hablando de acceder a información tan privada de la persona como son sus verdaderos sentimientos y motivaciones, o incluso posibles enfermedades que pueda padecer. En algunos casos, se trata de información de la cual ni siquiera el propio usuario tiene por qué ser consciente de ella. De hecho, y llegando al límite, esta información podría ser procesada para obtener, con algoritmos de predicción, la probabilidad de que elabore ciertos sentimientos o pueda desarrollar ciertas enfermedades. Esta información privada, si se procesa adecuadamente, puede llegar a ser monetizada de forma muy rentable por parte de distintos actores sin que obviamente los usuarios sean conscientes de ello. El ejemplo del apple watch con ECG está ahora en boga: hay compañías de seguros dispuestas a modificar las primas en función de tener acceso a esos datos.

Los Data Brokers, o vendedores de datos, son empresas que recogen información de los consumidores, crean perfiles lo más concretos posibles y venden todo ello a terceros sin conocimiento (ni consentimiento) de los usuarios. Los perfiles de usuario contienen información que permite trazar la historia de un consumidor (datos personales, gustos, necesidades, carencias), y esta información sirve a continuación para determinar qué ventas se pueden hacer a un determinado consumidor, identificar los riesgos que tiene ofrecer un determinado producto a un consumidor, etc. Para estos terceros supondría una ventaja competitiva fundamental de antemano conocer estos perfiles de los usuarios y consumidores. Algunos ejemplos de esta categoría son las aseguradoras que requieren optimizar al máximo el cálculo de las primas de sus clientes, empresas interesadas en minimizar los riesgos del proceso de selección de un empleado, empresas de recursos humanos, o incluso bancos que comercializan productos como hipotecas.

Si hoy en día se pagan entre $38 y $250 por historiales de navegación o médicos, ¿cuánto se pagaría por conocer los gustos íntimos o las enfermedades potenciales de una persona en base a su actividad cerebral?. Y ¿hasta dónde se podría llegar si esta información fuese de una persona con gran relevancia pública como un presidente de un país? Debido a la precisión de los perfiles que se podrían generar, la desigualdad y asimetría de la información (y por lo tanto de poder) entre empresas terceras y sus clientes se acrecentaría hasta límites insospechados. Conforme avancen las capacidades de la tecnología relacionada con el EEG, el procesamiento de datos masivos, y la agregación de información con otras tecnologías, el conocimiento neurológico de los sujetos derivado de la monitorización de ondas cerebrales será cada vez mayor, y la cartografía funcional del cerebro cada vez más precisa, con lo cual es de esperar que el valor de los datos no deje de crecer.

Por otra parte y siempre en relación con los problemas de privacidad, los datos brutos reales generados por los dispositivos de EEG son fundamentales para optimizar los algoritmos de Inteligencia Artificial en los que se basan los interfaces cerebro-computador. Los fabricantes tienen a su disposición millones de muestras de información de EEG en sus servidores en la nube generados por miles de usuarios cada vez que usan la diadema. Estos datos se pueden usar tanto para impulsar la investigación interna como para su comercialización dentro de un mercado muy lucrativo, donde los grandes grupos tecnológicos y la investigación médica tienen una gran demanda.

Escenarios de riesgo de ciberseguridad relacionados con la seguridad de las interfaces cerebro-computador

El crimen organizado ha trasladado una parte fundamental de su actividad al mundo digital. Se trata de una actividad que ya es más lucrativa que el tráfico de drogas o de armas, y se prevé que los delitos contra los usuarios no dejen de crecer debido a: 1) al crecimiento exponencial de los dispositivos conectados, 2) una seguridad poco adecuada de muchos de estos dispositivos, y 3) un desconocimiento de las medidas básicas de seguridad por parte de los usuarios. La irrupción de los productos de BCI supondrá un nuevo aliciente para este negocio que verá en los datos neurales una nueva forma de extorsión, y en las nuevas interfaces con el cuerpo del usuario (interfaces eléctricas con el cerebro, interfaces visuales y auditivas) una nueva manera de poder generar daño físico o mental de forma remota y anónima.

A continuación se muestran los posibles vectores de ataque sobre la tecnología BCI:

vectores de ataque en una solución estándar BCI

Imagen: vectores de ataque en una solución estándar BCI

Dichos ataques pueden ser caracterizados en base al modelo de riesgos definido previamente:

Elemento atacado

Descripción del ataque

Vulnerabilidad explotada

Impacto sobre el usuario

1

Firmware de la diadema

Un atacante logra acceder temporalmente a la diadema e introduce contenido malicioso en el firmware a través del puerto micro-usb, o a través de un programa informático como una App. Este malware puede crear y enviar datos EEG manipulados.

* Facilidad de acceso al firmware.

* Falta de cifrado en el firmware

* Falta de implementación de la validación (firma digital y hash) en la diadema o App.

* Impacto 1: Robo de datos, con fines de extorsión o venta a terceros

* Impacto 2: Manipulación de los datos enviados al dispositivo de control cercano, por lo que la aplicación no lleva a cabo su objetivo, o peor, lleva a cabo un objetivo lucrativo para el atacante.

2

Comunicación equipo EEG -dispositivo de control cercano

Un atacante logra establecer una comunicación con las dos partes, sin que éstas sepan que el enlace ha sido vulnerado (MiTM). El atacante puede así interceptar y alterar todos los mensajes transmitidos.

* La transmisión BLE no está cifrada y se puede interceptar fácilmente.

* Los mensajes originales se pueden reinyectar y manipular.

* La App no hace validación del dispositivo que se conecta.

* Impacto1

* Impacto2

3

Dispositivo de control cercano

Un atacante consigue identificar las credenciales de un usuario (por ingeniería social, phishing) y accede con ellas a la aplicación.

* Falta de concienciación del usuario sobre la protección de sus contraseñas

* Falta de mecanismos de control dentro de la App (doble factor).

* Impacto1

Un atacante crea una app BCI idéntica a la original del fabricante con código adicional malicioso, que tiene como objetivo que la aplicación original no funcione, o enviar estímulos al usuario que le causen daño o le roben información. El usuario descarga dicha App pensando que se trata de la original.

* Falta de comprobación de la legitimidad de la

App en el servidor y/o la diadema.

* Control insuficiente de las Apps en Apple Store, Google Play o servidores similares.

* Impacto 3: Manipulación de las acciones llevadas a cabo por la aplicación para que lleve a su objetivo.

* Impacto 4: Daño físico: se envían estímulos/acciones que pueden generar daño sobre el cuerpo humano.

*Impacto 5: se envían estímulos al usuario y se estudia la respuesta cerebral no consciente para obtener información privada (gustos, preferencias, PIN de tarjetas), recientemente denominado BrainSpyware.

4

Comunicación entre dispositivos de control

Un atacante logra interceptar el canal de sincronización de datos.

* Falta de cifrado en las comunicaciones que permite a un atacante que consigue interceptar la comunicación identificar la información EEG del usuario.

* Impacto 1

* Impacto 2

* Impacto 6: Manipulación de los datos enviados al dispositivo de control lejano, por lo que la aplicación no lleva a cabo su fin de almacenamiento o procesamiento de datos.

5

Dispositivo de control remoto

Un atacante consigue entrar en los equipos/servidores del proveedor (o proveedores del proveedor del usuario) y acceder a los datos EEG de todos los usuarios.

Protección no adecuada de la validación de entrada en el servicio web del proveedor.

Impacto1. NOTA: el alcance es mucho más global que en el caso de los ataques anteriores, ya que en caso de éxito se conseguiría acceder a la información de todos los usuarios.

 

Ejemplo de escenario 1: un caso real de brain-computer interface BCI

El equipo internacional de MoreGrasp está desarrollando una neuroprótesis controlada con el pensamiento (mediada por una BCI) para que las personas con lesión medular puedan realizar movimientos cotidianos con las manos tales como agarrar un vaso para beber agua o lavarse los dientes, incrementando así su autonomía y calidad de vida. Esta tecnología está actualmente en ensayo médico liderado por la Universidad de Heidelberg.

El funcionamiento práctico de la tecnología la tecnología y sistema informático es el siguiente: el paciente piensa de forma natural la acción que quiere llevar a cabo, y la BCI instalada en el ordenador de la silla de ruedas proporciona las instrucciones al sistema de estimulación eléctrica funcional que, aplicando corrientes eléctricas en los nervios del antebrazo del usuario, movilizan los músculos que controlan la mano para conseguir el agarre deseado. El usuario recibe feedback sensorial mediante smartwatch para compensar la falta de sensibilidad. Una vez terminado el uso, el computador envía los datos cerebrales y de uso de la tecnología a los servidores centrales del sistema MoreGrasp, para su almacenamiento y posterior estadística.

En cuanto a los escenarios de riesgo relacionados con la privacidad, el principal es el uso secundario de los datos procedentes de la actividad cerebral del usuario, de los cuales se pueden obtener, no solamente la condición de tetrapléjico (por degeneración de la actividad de la corteza motora), sino también otra información relativa a enfermedades mentales). Además, la actividad cerebral es monitorizada durante las ocho horas continuadas de uso del dispositivo, por lo que potencialmente puede obtenerse información relativa a sus emociones y motivaciones durante todas las actividades que realiza en su día a día (interacción con otras personas, visualización de la televisión, etc).

En cuanto a los escenarios de seguridad relacionados con los ataques, podemos resumirlos de la siguiente forma en base al modelo de riesgos definido previamente:

Elemento atacado

Impacto sobre el usuario

1

Ataque al Firmware de la diadema

* Impacto 1: Robo de datos, con fines de extorsión o venta a terceros. En este caso se referiría a los datos de EEG o los datos propios de uso del dispositivo.

Impacto 2: Manipulación de los datos enviados al dispositivo de control cercano, por lo que la aplicación no lleva a cabo su fin. Si la actividad de EEG se manipula no habrá una relación causal entre lo que la persona piensa y lo que ejecuta la prótesis. Nunca podrá aprender a usarla.

2

Ataque a la comunicación equipo EEG - dispositivo de control cercano

* Impacto1

* Impacto2

3a

Ataque al dispositivo de control cercano (obtención de credenciales)

Impacto1

3b

Ataque al dispositivo de control cercano (reemplazo App o software de aplicación)

* Impacto 3: Manipulación de las acciones llevadas a cabo por la aplicación para que lleve a su fin. Este caso es similar al Impacto 2, en el que la prótesis ejecutaría órdenes que no son las solicitadas por la persona, por lo que llevaría a cabo su trabajo incorrectamente.

Impacto 4: Daño físico: se envían estímulos/acciones que pueden generar daño sobre el cuerpo humano. La aplicación podría enviar órdenes al sistema de estimulación eléctrica con voltajes eléctricos muy altos para producir daño físico. Aunque esto sería filtrado por el sistema médico de FES en el caso Moregrasp, podría darse el caso de producir daño en otros sistemas.

*Impacto 5: Brain Spyware: se envían estímulos al usuario y se estudia la respuesta cerebral no consciente para obtener información privada (gustos, preferencias, PIN de tarjetas). Este caso podría darse en el Moregrasp sólamente en la etapa de aprendizaje, donde se produce un neuro-feedback visual al usuario para que aprenda el uso del dispositivo. Este feedback podría ser alterado con estímulos visuales concretos para obtener las reacciones cerebrales y evocadas (no controlables) a estos estímulos, obteniendo así información sobre las emociones o motivaciones a estos estímulos concretos.

4

Ataque al la comunicación entre dispositivos de control

* Impacto 1

* Impacto 2

* Impacto 6: Manipulación de los datos enviados al dispositivo de control lejano, por lo que la aplicación no lleva a cabo su fin de almacenamiento o procesamiento de datos. En este caso, los datos que llegarían a los servidores Moregrasp estarían alterados, por lo que todo el seguimiento por parte de los médicos (tanto de éxito como de mal funcionamiento de la aplicación) no serían correctos.

5

Ataque al dispositivo de control remoto

* Impacto1: Acceso a los servidores de Moregrasp donde están almacenados los datos de todos los usuarios, así como la información procesada. Dichos datos pueden ser usados con fines de extrosión (a los usuarios o a Moregrasp) o vendidos a terceros.

 

Ejemplo de escenario 2: equipo de EEG de gran consumo

Los gadgets mentales de EEG para gran consumo son ya son una realidad y empiezan a encontrarse en el público general. Aunque las aplicaciones todavía son muy reducidas y su uso no muy extendido, podemos ya ver ejemplos de la inseguridad de algunos sistemas. Por ejemplo, a continuación se muestra un escenario en el que se ha realizado un ataque a la comunicación Bluetooth Low Energy (BLE) entre el equipo de EEG y el dispositivo de control cercano (ataque MiTM del Número 2). El objetivo de dicho ataque es, por una parte, acceder a la información privada del usuario y usarla con fines de extorsión (Impacto 1), e intentar, por otra parte, modificar la información destinada al dispositivo de control para que éste envíe señales que puedan ser dañinas para el usuario (Impacto 2).

Para realizar el ataque se ha usado un equipo configurado con el SW GATTacker (utilizado para el control de dispositivos IOT) con dos USB Bluetooth. Tal y como se muestra en la figura, el objetivo es crear una nueva conexión entre el usuario con el equipo EEG y el dispositivo de control a través del equipo atacante.

Escenario del ataque destinado a enrutar el tráfico entre la Diadema EEG y la App

Imagen: Escenario del ataque destinado a enrutar el tráfico entre la Diadema EEG y la App

La figura siguiente muestra los pasos del ataque:

  • Paso 1: el equipo atacante escucha la información anunciada por la diadema EEG y le responde enviando mensajes destinados a aceptar la conexión.
  • Paso 2: el equipo atacante usa la misma información que generó la Diadema EEG en el Paso 1 para enviar mensajes a la App, hasta que ésta acepta la conexión pensando que se trata de una Diadema.
  • Paso 3: una vez la máquina atacante tiene conexión con la Diadema EEG y la App, captura el tráfico entre ambos equipos. Tal y como se aprecia en la figura, la parte negra de la captura corresponde a la identificación de los sensores, la parte verde a la información de cada sensor.

Ataque a comunicacion ble Espanol Explicacion Ataque Explicacion Ataque 0

Con esto se demuestra que se puede fácilmente comprometer la confidencialidad de la información y conseguir materializar el Impacto 1 (robo de datos de EEG con fines de extorsión al usuario). También se deja la puerta abierta a comprometer la integridad de la información y materializar el impacto 2 (modificación de la información del EEG con el objetivo de que el dispositivo de control genere señales que provoquen daño al usuario).

Hay que señalar que este tipo de ataque es extensible a muchas soluciones existentes que usan internet of things (IOTs), apps en smartphones y servicios webs en la nube.

Soluciones de seguridad al hackeo de aplicaciones BCI

Los escenarios de riesgo que se han presentado tienen una serie de características que llevan un paso más allá los problemas actuales en ciberseguridad y privacidad. Por un lado pueden tener un impacto directo sobre los cuerpos y las vidas de los usuarios, y por otro, los datos neurales generados pueden ser usados y vendidos en diferentes mercados. Con estos datos, los Data Brokers pueden crear perfiles de usuarios muchísimo más precisos que los actuales para su venta o extorsión.

A continuación se presenta una propuesta holística de medidas que debería impulsarse rápidamente, en un momento en el que las soluciones de neurotecnología e interfaces-cerebro computador todavía están en fase de expansión.

Implementación de medidas de seguridad tecnológica

Es fundamental cumplir con una línea base de controles que minimicen los riesgos identificados previamente en la figura anterior, que incluya como mínimo:

  • Punto 1: en el equipo de EEG:

    • Cifrado del firmware y comprobación de la autenticidad a través de hash o firma

    • Escudo que proteja frente a ataques eléctricos.

  • Punto 2: en la comunicación inalámbrica equipo EEG – dispositivo cercano:

    • Cifrado de la información EEG transmitida vía BLE.

    • Validación del dispositivo que se quiere conectar a la App, por ejemplo mediante PIN o vinculación fuera de banda (NFC).

  • Punto 3: en el dispositivo de control cercano (smartphone o portátil):

    • Doble factor de autenticación (huella, PIN, NFC) con el objetivo de asegurar que el dispositivo sólo se puede asociar con un dispositivo EEG a través del protocolo BLE. Ello impediría que hackers generaran ataques similares al MiTM mostrado previamente.

    • Control de la autenticidad de las Apps desde el equipo de EEG y/o servidor.

  • Punto 4: en la comunicación hacia los servidores del proveedor:

    • Cifrado de la comunicación con el objetivo de asegurar que en caso de intercepción de la comunicación por parte una persona maliciosa, ésta no puede acceder a los datos EEG.

  • Punto 5: En los dispositivos de control lejanos (servidores).

    • Protección de toda la infraestructura del fabricante donde están almacenados los datos de EEG de todos los usuarios: seguridad física, sistemas operativos, redes, sistemas de almacenamiento, aplicaciones, aplicaciones web (formulario de acceso), etc.

De forma transversal, se podrían implementar otro tipo de soluciones de privacidad orientadas a proteger los datos como el Blockchain, las cuales permiten hacer seguimiento y auditorías de los datos.

El concepto de seguridad en el diseño es en este sentido muy importante para asegurar que todas estas medidas se contemplan desde la concepción del producto, y en él deberán participar profesionales del ámbito de las neurociencias que complementen la visión de los ingenieros. La guía de seguridad de Internet de las Cosas (Internet of Things, IOTs) definida por el Open Web Application Security Project (OWASP) puede ser un punto de partida válido para empezar. Se entiende que la implementación de estas medidas es una decisión delicada, ya que puede chocar con los aspectos funcionales y de usabilidad, aparte de incrementar el precio de las soluciones.

Regulación efectiva y a tiempo por parte de Gobiernos

Si bien existen legislaciones de protección de datos como el Reglamento General de Protección de Datos (RGPD), éstas presentan limitaciones fundamentales en la actualidad. Por ejemplo, al adquirir algunos dispositivos de EEG cuyas empresas no tienen sede en ningún país de la Unión Europea, el RGPD queda fuera de aplicación. Por otro lado, en estos equipos el usuario acepta ceder su intimidad en los términos descritos en la política de privacidad, donde se indica que los datos pueden ser cedidos en determinadas circunstancias a terceros, y que los datos pasan a ser propiedad del fabricante sin ningún tipo de restricción en su uso (distribución, comercio, investigación) cuándo han sido “desindentificados” (el detalle de este proceso no suele estar especificado).

Regular este tipo de dispositivos es fundamental si queremos establecer la obligatoriedad de implantar unas salvaguardas tecnológicas mínimas como las indicadas en el punto anterior y evitar situaciones de cesión y venta descontrolada de la información neural generada por los usuarios. Para que sea efectiva, dicha regulación debería tener una aplicación internacional que afronte las limitaciones que pueden tener regulaciones como el RGPD (cuando los fabricantes no tienen sedes en países de la UE), y ser lo suficientemente ágil para adaptarse rápidamente a los cambios tecnológicos. En particular, en un reciente artículo en Nature, los investigadores proponen incluso que la información neural sea tratada a nivel de legislación, al mismo nivel que la venta de órganos como la 1984 US National Transplant Act. Además estas regulaciones siempre deberían de garantizar que además con este tipo de dispositivos se mantiene la identidad individual del individuo (integridad mental y corporal) y la agency (capacidad de elegir las propias acciones), algo que puede verse alterado según los ataques que se produzcan a los usuarios.

Educación y concienciación de usuarios

A medida que avance la comercialización de los productos BCI y los wearables en general, es fundamental que los usuarios tomen conciencia de los riesgos a los que pueden estar expuestos y la necesidad de adoptar buenas prácticas de seguridad. Algunos ejemplos son deshabilitar funciones que no se vayan a usar, ponerse los equipos de EEG sólo cuando se vaya a usar el servicio, gestionar adecuadamente las contraseñas de acceso a las Apps, o hacer una lectura crítica de las políticas de privacidad para tener claro las condiciones de uso. Este tipo de actividad puede recaer en organismos independientes como asociaciones de consumidores, tal y como ya ocurre en la actualidad por parte de la OCU.

Conclusiones

Los dispositivos BCI aportan una multitud fascinante de beneficios en múltiples aspectos de nuestra vida, pero convierte el cerebro en un nuevo sistema de información que puede ser hackeado, con impactos mucho más profundos de los que tenemos con las tecnologías actuales. La información neural puede dejar de ser secreta y alimentar un negocio monumental y no regulado de venta de datos, abriendo además una nueva vía de ataques directos a los usuarios debido a las interfaces con el cuerpo. La respuesta frente a estos problemas pasa por adoptar un enfoque holístico de medidas que impliquen a todos los actores y que tenga en cuenta las dimensiones humanas de los impactos, no sólo los aspectos tecnológicos.

Haciendo un ejercicio de abstracción, este enfoque de la ciberseguridad puede ser generalizado a todo el espectro de soluciones de tecnologías de interacción humano máquina, como las interfaces cerebro-computador invasivo (implantan los sensores directamente en el cerebro), wearables e IOTs, que de una manera u otra interaccionarán con nuestros cuerpos y nuestras vidas en cada vez más situaciones, aportando multitud de nuevas mejoras pero también nuevos problemas de seguridad que todavía debemos entender.

Technological Implants in a person's body

Imagen: ejemplos de dispositivos médicos invasivos

Para ser efectiva, la ciberseguridad deberá reinventarse continuamente, abrazando las disciplinas biológicas, humanas y sociales con las que interaccione la tecnología, y estableciendo conceptos que ayuden a entender y prever las nuevas problemáticas con las que nos enfrentemos. Es importante que los expertos entiendan no sólo las consideraciones éticas de la neurotecnolgía, sino que además que que se deben ampliar las dimensiones actuales de la seguridad (confidencialidad, disponibilidad, integridad) y adaptar las métricas de los sistemas de evaluación de vulnerabilidades como CVSS para que abarquen aspectos humanos (daño físico o mental, daño personal, asimetría de información, control). También sería conveniente que las asociaciones como ISACA o ISC incluyeran en sus códigos éticos la protección del usuario final, no sólo la organización. Sólo así se podrán prever medidas técnicas, legislaciones y contenidos de concienciación adecuados a los nuevos ataques.

Autores

    Te puede interesar: