En el futuro, los ciberataques podrán explotar los implantes de memoria para robar, espiar, modificar o controlar memorias humanas. Y mientras que las amenazas más radicales están todavía bastante lejos, la tecnología base ya existe en forma de dispositivos de estimulación cerebral profunda.
Los científicos trabajan para entender cómo los recuerdos se crean en el cerebro y cómo pueden dirigirse, restaurarse y mejorarse utilizando esos implantes. Sin embargo, existen vulnerabilidades en el software y el hardware conectado que deben abordarse si queremos estar preparados, según un nuevo estudio de los analistas de Kaspersky Lab y el Grupo de Neurocirugía Funcional de la Universidad de Oxford que acaba de presentarse en Barcelona en la conferencia anual Kaspersky Next.
Los analistas combinaron los análisis práctico y teórico para explorar las vulnerabilidades actuales en los dispositivos implantados utilizados para la estimulación cerebral profunda. Conocidos como generadores de pulso implantables (IPG) o neuro estimuladores, estos dispositivos envían impulsos eléctricos a puntos específicos en el cerebro para el tratamiento de trastornos como la enfermedad de Parkinson, el temblor esencial, la depresión mayor y el trastorno obsesivo-compulsivo.
La última generación de estos implantes viene acompañada de un software de gestión para médicos y pacientes, instalado en tablets y smartphones. La conexión entre ellos se basa en protocolo estándar de Bluetooth.
Los analistas encontraron una serie de escenarios de riesgo existentes y potenciales, cada uno de los cuales podría ser explotado. Entre estos se incluyen:
- Infraestructura conectada expuesta. Los analistas encontraron una vulnerabilidad grave y varias configuraciones erróneas serias en una plataforma de administración online muy popular en equipos médicos, que podrían dar acceso a un atacante a datos confidenciales y a procedimientos de tratamiento.
- Una transferencia de datos insegura o sin cifrar entre el implante, el software y cualquier red asociada podría permitir la manipulación maliciosa de un paciente o incluso de grupos completos de implantes (y pacientes) conectados a la misma infraestructura. La manipulación podría provocar unos cambios en la configuración que causaran dolor, parálisis o el robo de datos personales privados y confidenciales.
- Limitaciones en el diseño ya que prima la seguridad del paciente. Los médicos necesitan controlar un implante en situaciones de emergencia, por ejemplo cuando un paciente ingresa en un hospital lejos de su centro habitual. Esto impide que se utilicen contraseñas que no sean ampliamente conocida por los profesionales médicos. Además, significa que, de manera predeterminada, dichos implantes deben equiparse con un software “backdoor”.
- Comportamiento inseguro por parte del personal médico. Los programadores de software crítico para pacientes lo entregaban con contraseñas predeterminadas utilizadas para navegar por internet, o incluyendo apps adicionales descargadas en el programa.