Ahora los investigadores de seguridad de la Universidad de
California, Berkeley, la Universidad de Oxford y la Universidad de Ginebra, han
creado un programa personalizado para interactuar con dispositivos de interfaz
cerebro-ordenador (BCI) y robar información personal de inocentes víctimas.
Los investigadores se dirigieron a dispositivos BCI de
grado-consumidor debido al hecho de que están ganando rápidamente popularidad
en una amplia variedad de aplicaciones, incluyendo la interconexión equipo de
manos libres, juegos de vídeo y programas biométricos de retroalimentación
Además, ahora hay mercados de aplicación - similares a los
popularizados por Apple y la plataforma Android - que se basan en un API para
recoger información del dispositivo BCI.
Desafortunadamente con el surgimiento de toda nueva
tecnología vienen nuevos riesgos y, hasta ahora.
"Los riesgos de seguridad que implica el uso de
dispositivos BCI de grado-de-consumidor nunca han sido estudiados, y el impacto
del software malicioso con acceso al dispositivo está sin explorar", según
un comunicado de prensa.
Los individuos involucrados en este proyecto - que se
tradujo en un trabajo de investigación titulado "Sobre la viabilidad de
ataques a canales laterales con interfaces cerebro-ordenador - On the
Feasibility of Side-Channel Attacks with Brain-Computer Interfaces",
incluyen, Iván Martinovic y Tomas Ros de las Universidades de Oxford y
Ginebra, respectivamente junto con Doug Davies, Frank Mario, Daniele Perito, y la
Dawn Song, todos de la Universidad de California, Berkeley.
Los hallazgos de estos investigadores innovadores son menos
inquietantes.Ellos encontraron, "Que esta próxima tecnología podría volverse en contra
de los usuarios para revelar su información privada y secreta."
En efecto, ellos utilizaron dispositivos BCI relativamente
baratos, basados en electroencefalografía (EEG) con el fin de demostrar la
viabilidad sorprendentemente simple y eficaz de ataques.
La información que puede ser adquirida por los ataques es
increíblemente sensible, incluyendo, "Tarjetas bancarias, números PIN, áreas de la vida,
conocimiento de personas conocidas".
Lo más problemático es el hecho de que esto representa, "El primer intento de estudiar las implicaciones de
seguridad de dispositivos BCI de grado-de-consumidores", lo que hace más
desconcertante el éxito de los ataques.
Los investigadores evaluaron su programa privativo en 28
diferentes participantes que, mientras ellos estaban obviamente conscientes de
que estaban colaborando en un estudio, no eran conscientes de que estaban
siendo "hackeados del cerebro", por así decirlo.
Desafortunadamente, o afortunadamente, dependiendo de su
perspectiva, los investigadores encontraron,
"que la entropía de la información privada se redujo en
un promedio de un 15% - 40% en comparación con los ataques de adivinanzas al
azar".
O como Sebastián Anthony lo puso por escrito para
ExtremeTech, "En general los experimentos tenían una probabilidad de
10 a 40% de éxito en obtener información útil."
Los investigadores aprovecharon un distintivo patrón de
señal de EEG conocida como la respuesta P300. Este patrón de onda cerebral se produce normalmente cuando
el sujeto reconoce algo como el rostro de un amigo o una herramienta necesaria
para completar una tarea dada. Usando el conocimiento de la respuesta P300, los
investigadores crearon un programa que utiliza una técnica que aquellos que
están familiarizados con la típica piratería pudiera llamarlo un método de
"fuerza bruta".
Sin embargo, este método es sólo vagamente comparable a los
métodos de fuerza bruta tradicionales, ya que estamos hablando de utilizar un
ataque de fuerza bruta sobre la mente humana. Los investigadores hicieron esto
mediante el uso de imágenes parpadeantes de mapas, bancos, PINs, etc., mientras
monitoreaban al sujeto por cualquier respuesta P300.
Después de haber recogido datos suficientes sobre el sujeto
fueron capaces de comparar fácilmente la información capturada para ver cuando
una respuesta P300 era detonada por una determinada imagen.
Por lo tanto, esto permitió a los investigadores descubrir
con sorprendente exactitud cuál banco utiliza el sujeto, dónde viven, y otra
información que podría ser altamente confidencial.
La clave para capturar esta información parece estar
haciendo que el sujeto no sea consciente del hecho de que está siendo atacado,
ya sea a través "juegos" diseñados, especialmente formulado para
robar información personal de la cuenta del sujeto o por medio de una falsa
sensación de seguridad generada mediante técnicas de ingeniería social.
Personalmente, me parece muy preocupante que la gente
pudiera tener su información personal robada simplemente por jugar lo que ellos
piensan que es un juego normal controlado por un dispositivo BCI, cuando en
realidad se trata de una pieza de software cuidadosamente diseñada para extraer
datos privados de la mente del objetivo.
Como Anthony con acierto señala, "En el futuro, este hack del cerebro sólo puede mejorar
en eficacia al volverse el BCI más barato, más preciso y, por tanto más
ampliamente utilizado."
Sin embargo, Anthony incorrectamente afirma, "En realidad, su única defensa es no pensar en el
tema", cuando en realidad la respuesta P300 puede ocurrir sin que
conscientemente "piense" sobre el tema.
La respuesta puede ocurrir cuando una imagen de una cara
conocida o ubicación aparece, incluso si la persona no está pensando en la
persona familiar o la ubicación.
Aunque alguien pudiera teóricamente estar a la defensiva en
un intento de minimizar sus respuestas, toda la metodología del hacker depende
de evitar la detección, para empezar.
Por lo tanto, si el objetivo está ya conscientemente a la
defensiva, el hacker ha fracasado en su tarea de permanecer en las sombras y
llevar a cabo el ataque sin el conocimiento del objetivo.
Dicho esto, si los programas son creados de una manera
bastante inteligente, tengo serias dudas de que la mayoría de la gente pueda
ser capaz de decir que están siendo atacados activamente con el fin de obtener
su información privada y confidencial.
Posted in: 
