University of Massachusetts, Amherst: Derrotando a aspirantes a hackers de chips de radio frecuencia en objetivos como tarjetas de crédito y marcapasos
¿Podrían los dispositivos médicos implantados que utilizan comunicación inalámbrica, como los marcapasos, ser maliciosamente hackeados para atentar contra las vidas de los pacientes? Kevin Fu, basándose en su trabajo de investigación, no está ajeno a macabros escenarios como este, aunque Fu prefiere atenerse a conversar sobre detalles técnicos. No obstante Fu, un ingeniero de programas de ordenador y profesor asistente de ciencias de los ordenadores, es un hombre de seguridad. Y las personas de seguridad piensan de manera diferente.
“Cualquiera que trabaje en el mundo de la seguridad—siempre tiene la adversidad en mente”, explica Fu, sentado detrás de su escritorio en el segundo piso del edificio de Ciencias de los Ordenadores en la Universidad de Massachusetts (UMass) Amherst. “Esta es la forma en que usted puede trabajar mejor en el diseño de sus sistemas para defenderse de esas adversidades”.
Las amenazas de seguridad contra las que los investigadores de Fu trabajan están relacionadas con la seguridad de la identificación de radio frecuencia, o RFID. La tecnología RFID se ha vuelto muy común hoy en día y tiene ya varias aplicaciones: desde etiquetas para la identificación de contenedores hasta tarjetas llave electrónicas, desde las tarjetas "Speedpass" de ExxonMobil hasta las tarjetas de crédito "libre de pase" de Chase. Este tipo de dispositivos permite la circulación inalámbrica de información de facturación e información personal de una manera personal y rápida. Sin embargo, como constató Fu en el año 2006, no de una manera muy segura.
Después de probar más de 20 tarjetas “inteligentes” o "libres de pase" (tarjetas que no deben pasarse por el lector de bandas magnéticas) de MasterCard, Visa y American Express, Fu y sus colegas encontraron que podían robar información de números de cuenta y fechas de expiración de varias de estas tarjetas—aún en tarjetas que estaban dentro de las carteras de los usuarios—simplemente caminando cerca de estas personas con un escáner hecho en casa.
Usualmente estos delincuentes circulan cerca de buzones de correo, centros comerciales y otros lugares en busca de información de RFID que puedan robar para utilizarlas en delitos de suplantación de identidad. Básicamente le roban a usted todo lo que tiene en su bolsillo sin siquiera tocarlo. Para hacer este tipo de tarjetas realmente seguras se necesita un muy buen programa de cifrado—que es la especialidad de Fu. Pero el cifrado requiere de un suministro continuo de energía, algo que los pasivos -con fuente de energía externa- chips RFID utilizados en estas aplicaciones no tienen. “Nos inspiramos en la programación”, explica Fu. “Pero la programación no funcionará sin un programa de ordenador para RFID. Además, el ordenador RFID no funcionará si no se solucionan los problemas de energía”. Fu ofrece una sonrisa de preocupación y agrega: “entonces, hasta ahora, ha sido algo así como un trabajo complementario de dos años”.
La única manera para que Fu resuelva este intrincado problema es inventar una nueva tecnología—un proyecto en el que está trabajando con un equipo lidereado por Wayne Burleson, un profesor de ingeniería eléctrica y de ordenadores. Pero aún cuando ha luchado contra este problema, Fu se preguntó a sí mismo—tal y como haría cualquier hombre de seguridad: si la información financiera es realmente vulnerable, ¿qué será de la información más sensible y con consecuencias de seguridad más delicadas y peligrosas?
Esto fue lo que por primera vez lo llevó a analizar el problema de la máquina de ataques al corazón.
En su escritorio, Fu examina una presentación en PowerPoint sobre varios ejemplos, desde el desquiciado que agregó cianuro en Tylenol en los mostradores de una farmacia en Chicago en 1982, hasta el hacker que publicó animaciones que inducían ataques de epilepsia en una pizarra de mensajes de internet para epilépticos.
“Puede parecer paranoico”, admite Fu, “pero desde el punto de vista de seguridad, tienes que pensar que existen las malas personas”. Y no hay mejor lugar para la caza de este tipo de misántropos que en el mundo de la medicina.
Fu empezó a preguntarse sobre la seguridad de dispositivos médicos que utilizan comunicación de radio frecuencia, como los marcapasos y desfibriladores. Fu discutió este problema con su colega Tadayoshi Kohno, profesor asistente de ciencia de ordenadores e ingeniería en University of Washington y, además, un veterano investigador de la vulnerabilidad de las redes de ordenadores y máquinas de votación.
“Kevin es un investigador fantástico”, dice Kohno. “Su trabajo de investigación se enseña en carreras de grado, en prácticamente todas las asignaturas de seguridad de ordenadores que conozco. Su perspicacia es excepcionalmente profunda”. Juntos, Fu y Kohno, llevaron sus preguntas sobre desfibriladores más allá del laboratorio de ciencias de ordenadores, poniéndolas en el mundo del cardiólogo William H. Maisel, director del Medical Device Safety Institute en el Beth Israel Deaconess Medical Center en Boston.
Ambos explicaron la forma de pensar de la gente de seguridad a los asombrados miembros del equipo de Maisel. Después, los profesionales médicos introdujeron a los investigadores de seguridad a la Cardiología 101—empezando con marcapasos y desfibriladores, dispositivos que son implantados en medio millón de personas cada año en el mundo entero. Básicamente un marcapasos regula latidos del corazón descontrolados o aberrantes con suaves pulsos de electricidad, mientras que el desfibrilador provee de una gran descarga eléctrica para “reiniciar” un corazón que esté fallando. Unidos ambos, forman un cardio-convertidor desfibrilador para implantes, o ICD por sus siglas en inglés. El ICD está diseñado para detener un ataque al corazón en un paciente cardíaco. Sin embargo, Fu y Kohno se preguntaron; ¿podría este dispositivo producir un ataque al corazón en vez de impedirlo?
En su oficina en UMass, Fu saca una caja de zapatos que contiene un ICD. Luce tal y como el corazón del hombre de hojalata debería lucir: compacto y encapsulado en duro acero plateado quirúrgico, pero pelado y abierto al estilo de un abridor de latas. Instintivamente me acerco, atraído como un pájaro a los objetos brillantes. Fu quita la caja rápidamente. “Umm, tu no querrás tocar eso”, dice. “El alambre embobinado en estas cosas puede darte una descarga de 700 voltios”—suficiente como para detener tu corazón.
Fu señala el micro chip del tamaño de una caja de cerillos y la antena de bobina—la tecnología que conecta la última generación de ICD con internet, y que permite a los médicos reprogramar el dispositivo sin necesidad de cirugía. Desde la perspectiva de cardiólogos y pacientes, esta capacidad de reprogramación inalámbrica es un regalo de Dios. Pero desde el punto de vista de Fu, esto representa un nuevo riesgo de seguridad. De esta manera, fue se preguntó: ¿Podrían hackers profesionales escuchar la comunicación entre el ICD y su ordenador programable? ¿Podrían entender lo que escuchan y utilizarlo para infligir daño a un paciente?
“La mayoría de las personas que diseñan y construyen estos dispositivos no piensan de esta manera”, dice Fu. “Pero así es lo que piensa el adversario” él no juega tu juego; él hace el suyo propio”. Para enfrentar el riesgo de seguridad, los investigadores necesitaban jugar el juego de los hackers.
El equipo de Fu se dispuso a crear una técnica para escuchar “a escondidas” las comunicaciones en el desfibrilador. El hardware era un material común—una plataforma diseñada para permitir a investigadores y aficionados serios construir sus propios programas de radio. Se han usado para radios FM, receptores de GPS, decodificadores de TV—y lectores de RFID. Todo lo que quedaba era escribir el programa, despegar la antena de un marcapasos viejo, soldarla en el radio—y voilà, tenían un transmisor.
“Trabajó muy bien—increíblemente bien”, dice Fu. Después de “nueve meses de sudor y sangre”, pudieron interceptar bits digitales de un ICD—pero no tenían idea de qué significaban esos bits. Sus estudiantes regresaron al laboratorio para encontrar la manera de interpretar los bits. Utilizando básicamente análisis de diferenciación, cambiando una letra del nombre de un paciente y escuchando cómo cambiaba la correspondiente transmisión de radio—pudieron trabajosamente construir un libro de códigos.
Ahora su programa de radio hecho en casa podía escuchar y grabar comandos de programación de ICD. El dispositivo podía también re transmitir las grabaciones, y comandos frescos, a cualquier ICD cercano. Se había peligrosamente convertido en un doctor falso.
Fu descubrió un juego de comandos que podían mantener al ICD en un estado “despierto” constante, maliciosamente agotándole la batería con consecuencias devastadoras para el paciente. “Luego hicimos un cálculo de extrapolación”, Fu explica. “Una batería diseñada para durar un par de años podría drenarse en un par de semanas. Esto por sí solo constituía un riesgo notable”.
Más notable aún, el programa de radio de Fu era capaz de reprogramar completamente el ICD de un paciente mientras lo tenía implantado en su cuerpo. Los investigadores pudieron dar instrucciones al dispositivo de no responder a un evento cardíaco, como por ejemplo un ritmo cardíaco anormal o un ataque al corazón. También encontraron la manera de instruir al desfibrilador para que iniciara su secuencia de prueba—liberando efectivamente 700 voltios al corazón—cada vez que ellos quisieran.
A Fu no le gusta pensar que ha creado una máquina productora de ataques al corazón, o siquiera pensar que ha descubierto que una máquina como esa puede construirse. Aunque Fu es un académico que no es tímido en trabajar en aplicaciones de la vida real de sus teorías tecnológicas, ese “mundo real” está usualmente a 10 años de distancia en el futuro. Pero en este caso, las ramificaciones de la programación de radio de ICD son tanto inmediatas como escalofriantes: el dispositivo podía fácilmente miniaturizarse al tamaño de un iPhone y llevarse a un centro comercial o a una estación de trenes, enviando su señal de ataque al corazón a víctimas aleatorias.
¿Una máquina productora de ataques al corazón? Sería tonto, dice Fu, no darse cuenta de que hay gente depravada allí afuera, capaces de crear y utilizar una máquina como esa para infligir daño a víctimas inocentes “solo por diversión”. El problema de proteger el acceso remoto de programación a los ICD se relaciona directamente con el problema de proteger los RFIDs. Cifrar la comunicación es la única manera de escudar y proteger a millones de personas de tales riesgos. No se necesita a un Fu para suministrar soluciones prácticas, pero al exponer los peligros de seguridad Fu ha suministrado a los fabricantes de estos dispositivos médicos una alerta valiosa que puede salvar vidas.
Fu es demasiado inteligente como para ponerse a hacer especulaciones sobre cómo se puede abusar de esta tecnología, excepto al decir que él estaría muy sorprendido si no hubiese personas “trabajando en hacer máquinas como esa”. En el mejor de los casos, nunca sabremos cuán previsor fue su pensamiento; fabricantes de dispositivos médicos eliminarán la amenaza aún antes de que los hackers puedan explotarlas. “Kevin es un científico de ordenadores que tiene la habilidad de mirar a problemas como un doctor en medicina y como un paciente”, dice Maisel. “El trabajo que Kevin está haciendo en relación a la seguridad y privacidad de dispositivos médicos, tiene el potencial de impactar a millones de personas”.
¿Qué tal los escenarios más dramáticos? Imagínese una agencia de espionaje utilizando circuitos impresos para poner una máquina de ataques al corazón en un periódico, entregado con un café mañanero a un líder extranjero con un marcapasos. O un súper villano al estilo de Lex Luthor que transmite su señal mortal a miles de personas desde una potente torre transmisora.
Kevin Fu—profesor, investigador, científico—mueve sus ojos. “Todo lo que puedo decir sobre ésa última”, dice riéndose “es que haría una excelente película”. Charles Graeber. (Traducido por José Russo)