Partiendo de una investigación de su colega Alejandro Hernández, que dio una charla pionera sobre el tema en la pasada edición de Def Con, Muñoz ha hecho un repaso de las amenazas y oportunidades que presenta la electroencefalografía para la seguridad informática.
En primer lugar, las interfaces cerebro-ordenador están expuestas al mismo repertorio de ataques convencionales que cualquier otro dispositivo, aunque el poco interés por la seguridad de los fabricantes incrementa algunos riesgos.
Cuando el casco o la diadema ha traducido los impulsos eléctricos a información binaria, "puedes hacer todo tipo de ataques porque, realmente, ahí ya no estás copiando ondas, estás copiando bits", explica Muñoz a HojaDeRouter.com.
Al fin y al cabo son ceros y unos que se almacenan, procesan y transmiten de forma convencional (mediante Wi-Fi o Bluetooth), aunque el atractivo de la materia prima, las ondas cerebrales, también ha hecho que surjan técnicas novedosas y controvertidas como la 'mental surveillance' (algo así como "vigilancia mental") o el 'brain spyware' (programas para espiar el cerebro).
"Te pueden sacar información del cerebro sin tú saberlo", afirma Alfonso. "Por ejemplo, saber si conoces a ciertas personas, saber tu número de una tarjeta de crédito..."
En casi todos los experimentos que se han llevado a cabo hasta la fecha, el proceso viene a ser el mismo: se presenta un estímulo a la víctima, abierta o encubiertamente, y se registran los impulsos eléctricos a la espera de un pico en la amplitud de la señal que se conoce como P300 - porque se produce unos 300 milisegundos después.
Por ejemplo, se le muestran fotos de personas para determinar a cuáles conoce por la forma en que reacciona su cerebro (como si fuera una ronda de reconocimiento) o los números del 0 al 9 para averiguar el PIN de su tarjeta.
"Tú no tienes que contestar, ya contesta tú cerebro sin tú darte cuenta".
Sobre todo cuando el estímulo es subliminal, esto es lo más impresionante de la técnica.
"No son ataques perfectos, tienen limitaciones", admite Muñoz, "pero solo la idea de que eso se pueda hacer de manera relativamente sencilla, la verdad es que asusta".
La clave está en tu cerebro
Más allá de estas formas de extraer datos de tu mente, la tecnología BCI se ha postulado como alternativa de futuro para reemplazar a las tradicionales contraseñas, esas que están siempre en peligro de extinción pero nunca terminan de morir.
De hecho, si de las ondas cerebrales depende, aún les queda cuerda para rato.
La autenticación mental se está investigando, pero según Alfonso,
"todavía no está nada maduro".
La idea es que un determinado pensamiento se convierta en la forma de identificarte, de comprobar que eres quien dices ser.
"Puedes cantar una canción en tu cerebro, puedes imaginarte moviendo un dedo, puedes concentrarte en tu respiración... Esas tareas producen señales en tu cerebro, y esas señales son las que se miden", detalla el investigador español.
La ventaja es que la forma de pensar en algo es realmente personal e intransferible.
Si tu clave es tararear mentalmente el estribillo de 'Somewhere over the rainbow', por mucho que otro intente hacer lo mismo, los registros no coincidirán.
"Tu secreto lo podrías apuntar en un papel, porque realmente depende de tu cerebro".
Aunque en teoría es atractivo y los sistemas que se han probado hasta el momento,
"funcionan relativamente bien, porque hay algunos que consiguen más del 90% de precisión", el concepto viene acompañado en la práctica de no pocos problemas.
En primer lugar, el típico de cualquier mecanismo biométrico:
"Puede rechazar a usuarios válidos y aceptar a usuarios que no son legítimos, pero eso puede pasar igual con la huella dactilar o con el iris".
Por otra parte, se duda de su estabilidad.
"No queda muy claro durante cuanto tiempo eso funciona", explica Muñoz. "Da la sensación de que ese mismo procedimiento, según pasa el tiempo, no es preciso".
Las señales del cerebro evolucionan, y todavía no se han realizado experimentos suficientemente largos como para asegurar que la efectividad es duradera.
Además, el número de participantes suele ser escaso:
"Están verificados con muy pocas personas porque es complejo hacer estos estudios. Hay a lo mejor entre tres y quince. En ese rango se mueven la mayoría".
Por otro lado están los recursos que serían necesarios para implementar una autenticación mental.
"El proceso en general es costoso", indica Muñoz.
"Tienes que cogerles las señales, hay una fase de entrenamiento para reconocer a ese individuo... Y luego la fase ya de autenticarse, dependiendo del sistema, pues puede variar de unos pocos segundos a unos veinte segundos".
La necesidad de un dispositivo adicional tampoco ayuda.
"Si es la huella o el iris, eso lo tienes; si es el móvil, pues lo usas para otras cosas; pero aquí la diadema, comprártela solo para esto, parece que no tiene mucho sentido", afirma el experto de IOActive.
Otra opción serían los sistemas invasivos, pero también plantean serios interrogantes.
"Podrías tener un electrodo implantado en tu cerebro, pero no me parece muy ético", sentencia Muñoz.
Memorizar la contraseña sin saberlo
Si espiar el cerebro o reemplazar las contraseñas por ondas cerebrales ya resulta inquietante, las aplicaciones de lo que se conoce como "aprendizaje implícito" son si cabe más perturbadoras.
Algunos investigadores ya están buscando la manera de hacer que memorices una información (una clave, por ejemplo) sin darte cuenta.
"Tu cerebro se autentica con el sistema, pero tú no sabes cómo", describe Alfonso. "Tú no sabes la clave".
Alguien la ha grabado en tu cerebro, probablemente a base de repeticiones, y ahí se encuentra sin que puedas acceder a ella.
Como consecuencia,
"no te pueden forzar a nada, ni siquiera a revelar la clave porque tú no la conoces".
Solo quien haya decidido utilizarte como llave sabrá recuperar la información, tal vez exponiéndote al mismo estímulo que utilizó para meterla en tu cabeza y leyendo tus ondas cerebrales.
Todo un mundo de posibilidades que producen tanto miedo como asombro.
Sin duda, la alianza entre tecnología y neurociencia aún tiene muchos trucos para sorprendernos.
Entradas
