Desde Entelgy Innotec Security, nos hemos unido a la iniciativa de la Agencia Europea de Ciberseguridad (ENISA) que cumple once años concienciando a los ciudadanos sobre la importancia de la ciberseguridad en la actualidad, en honor a la celebración del Mes Europeo de la Ciberseguridad.
Persiguiendo el objetivo de fortalecer la resiliencia de los sistemas y servicios para permitir que los ciudadanos trasciendan hacia una sociedad mejor formada en materia de ciberseguridad, nuestro experto Pablo Martínez, hacker del departamento de Red Team de nuestra compañía de ciberseguridad Entelgy Innotec Security, se ha sumado a compartir sus conocimientos en materia de seguridad en el ámbito digital orientada hacia el presunto hackeo del cuerpo o la mente.
Preguntas como cuál es el grado de implantación del conocido biohacking (técnica que consiste en ‘piratear’ nuestro cuerpo a voluntad, insertando en él tecnologías diversas o utilizándolas de forma externa con la intención de mejorarlo) y hasta qué punto deberíamos temer que los ciberdelincuentes vulneren nuestros cuerpos las explica nuestro profesional a continuación.
“No debemos asustarnos, el biohacking no parece tan avanzado como pensamos. Existen estudios, situaciones experimentales, pero lo que conocemos hasta el momento es bastante primitivo y no deja opción a muchas posibilidades para que un ciberdelincuente nos hackee el cuerpo con un objetivo malicioso. Por el momento no llevamos el smartphone dentro de nuestra cabeza ni nos pueden meter un virus dentro”.
Posiblemente, en la actualidad aún sea más vulnerable nuestro teléfono móvil que un chip experimental inyectado bajo la piel, puesto que ese chip, aunque susceptible de ser hackeado, tiene una función muy limitada, mientras que el teléfono móvil está expuesto a innumerables amenazas.
La mayor parte de las tecnologías implantables, a excepción de las médicas, consisten en un pequeño dispositivo que se introduce en una cápsula que tu cuerpo no rechaza en un primer momento y que se inyecta en la piel. ¿Son inseguras? Mucho. ¿Podrían hackearse? Sí. ¿Podríamos entender que, al llevar un chip bajo la piel de nuestra mano, esta podría ser hackeada? También. Sin embargo, Fall prefiere establecer diferencias.
“Lo que se puede hackear es la tecnología, no el cuerpo en sí mismo. Un dispositivo vulnerable podrá ser hackeado tanto fuera como dentro del cuerpo. A lo que hay que poner atención es a la seguridad de la tecnología que tratamos de implantarnos”, puntualiza nuestro profesional.
En el espectro de la tecnología implantable, ¿cuál es la más insegura y, por tanto, hackeable? Desde Entelgy Innotec Security, analizamos las más conocidas:
- La tecnología RFID (de Identificación por Radiofrecuencia) es, posiblemente, la más extendida. Permite que varios dispositivos se identifiquen y entren en contacto mediante la emisión y lectura de ondas de radio. Son tecnologías de baja frecuencia.
“Esto hace que un atacante pueda ‘leer’ la información de un chip que funciona con RFID, pudiendo hacer un clon en otro chip que él tenga o en un emulador RFID”, explica Fall.
Entre otros ejemplos, están los chips que se utilizan para identificar mascotas o para abrir puertas. Estos últimos se pueden llevar dentro de la mano o de forma externa.
“No los he visto abrir la puerta de una casa, pero sí en controles de acceso empresariales y en portales. Un chip seguro necesita de un lector también seguro, y eso puede ser muy caro. Muchas entidades con grandes despliegues no están interesadas en invertir en esto, por lo que establecen controles de acceso baratos y muy inseguros”, comenta nuestro profesional.
- Las comunicaciones inalámbricas por NFC (Comunicación de Corto Alcance) suelen tener un grado de seguridad mayor que el caso anterior, aunque por regla general también son inseguras. Se encuentra dentro de la rama de la tecnología RFID, pero en ella los componentes operan y se comunican a mayor distancia que en el caso de los de NFC. Ya hay quien se implanta esta tecnología para, por ejemplo, intercambiar su ‘tarjeta de contacto’, para comprar comida en máquinas de vending o fichar en el trabajo. Las tarjetas de crédito cedidas por entidades bancarias en España, sin embargo, también funcionan con NFC de alta frecuencia y se consideran dispositivos seguros.
- Los dispositivos médicos implantables: existen otros dispositivos implantables, normalmente obligatorios para ciertas personas, con objetivos médicos y cuya seguridad es necesaria. Entre ellos, los marcapasos siempre han estado en el punto de mira.
“Especialmente los antiguos, de los que hay registro de vulnerabilidades. Hace años utilizaban el método de seguridad por oscuridad. Es decir, el marcapasos trabajaba en una frecuencia que nadie conocía y, por tanto, no era fácil de hackear. Con el paso del tiempo, esa seguridad dejó de ser efectiva. En el mismo momento en el que estos aparatos acabaron por venderse en sitios online supimos cómo funcionaban. Además, una vez implantados, estos dispositivos deben ser configurados inalámbricamente”.
En los últimos años también se han detectado vulnerabilidades en desfibriladores cardiacos implantables (que corrigen y monitorizan ritmos anómalos). Estos fallos de seguridad permitían tomar el control de los pequeños dispositivos.
Aunque el objetivo de los cibercriminales rara vez es el de afectar a la salud de un paciente de manera directa, esto puede ser una consecuencia de algunos de sus actos, especialmente del ciberataque a hospitales. De acuerdo con el reciente informe 'Good practices for the security of healthcare services', de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), “los dispositivos médicos implantables en pacientes, como holters, bombas de insulina, marcapasos, estimuladores gástricos y cerebrales; e incluso wereables como medidores de glucosa, entre otros, están conectados electrónicamente a los sistemas digitales de los hospitales”, asegura nuestro experto en materia.
Cualquier ciberataque contra los sistemas digitales de un hospital conllevará un ataque a la seguridad de todos los dispositivos médicos que estén conectados a su red, tanto de manera física como digital. También a los dispositivos implantados en pacientes.
“Hoy gran parte del software médico está fuera de soporte y muchos de los sistemas que se utilizan son anticuados y están profundamente implantados. Existe un gran riesgo al exponer la maquinaria y herramientas de un hospital a todas las amenazas del entorno digital”, específica Alejandro Villar, nuestro Global Director of OT Cybersecurity en nuestra compañía.
Fall agrega que todo lo relacionado con comunicaciones inalámbricas, radiofrecuencia, wifi o bluetooth “pinta mal”.
“Los riesgos de seguridad aumentan exponencialmente cuando te comunicas inalámbricamente, un espectro donde cualquiera puede intervenir en esa comunicación. Además, implantarse en la piel un chip RFID o NFC, cuando existe un homólogo para realizar la misma función de manera externa, es innecesario”, opina.
A pesar de estos ejemplos, aunque a los apasionados de la tecnología les encanta soñar con un mundo en el que los cíborgs comparten escenario con los humanos, y en el que la tecnología se asume dentro del cuerpo y de la mente como un ente completamente integrado, parece que el futuro que todos esperan aún no ha llegado.
Desde Entelgy Innotec Security os animamos a que, si queréis saber más sobre el mundo de la ciberseguridad, no dudéis en seguirnos en nuestras redes (Twitter, LinkedIn e Instagram), por donde contribuiremos con distintos consejos y buenas prácticas.
