Estamos tan acostumbrados a ver objetos interconectados electrónicamente que ya ni nos llama la atención. Escribo estas líneas rodeado de todo tipo de aparatos que emiten y reciben información de forma inalámbrica, desde móviles a altavoces, pasando por la estación meteorológica o la llave que me permite abrir mi coche a distancia.
Pero hay un instrumento cuya conectividad solamente ahora se está comenzando a aprovechar. Los beneficios potenciales son enormes, pero también las implicaciones de seguridad. Las soluciones actuales están siendo desarrolladas y probadas, y su correcta aplicación es literalmente un asunto de vida o muerte. Porque ese instrumento es el propio ser humano. Bienvenidos a la seguridad en el campo de los marcapasos, desfibriladores, bombas de insulina y demás aspectos de la biónica moderna.
Como todos sabemos, los dispositivos genéricamente denominados marcapasos son necesarios para que los corazones de miles de personas sigan latiendo con normalidad. El problema con los marcapasos es el mantenimiento. Es evidente que abrir el pecho del paciente cada vez que haya que ponerle una pila nueva no es una buena idea. Felizmente, el fenómeno físico conocido como inducción magnética resuelve ese problema; y si no, las baterías actuales pueden mantener el aparato funcionando durante años. La construcción de marcapasos evita, o minimiza, la mayoría de fallos por funcionamiento mecánico o eléctrico.
Los marcapasos tienen su propio software (firmware), y algunos pueden ser configurados, lo que los hace susceptibles a errores de programación. Un estudio realizado en Estados Unidos entre 1990 y 2000 mostró que más del 40% de los fallos de los marcapasos y cardio-desfibriladores implantables se debieron a fallos en el firmware, lo que constituye en términos absolutos casi un cuarto de millón de casos[1]. Y eso en aparatos que apenas pueden programarse.
Quizá fuese mejor no programarlos en absoluto. Pero eso no es una opción. Lejos quedaron los tiempos en los que el único control posible sobre un marcapasos era darle al botón de encendido. Los marcapasos actuales son programables y permiten al médico escoger el ajuste óptimo para cada paciente. Los desfibriladores automáticos implantables (DAI) detectan arritmias y las corrigen proporcionando al corazón un “chispazo” eléctrico. Los modelos más modernos pueden incluso conectarse al médico o al hospital, enviando telemetría y permitiendo un seguimiento a distancia de la evolución del paciente.
Los marcapasos son solamente la punta del iceberg. Las aplicaciones de pequeños dispositivos insertados quirúrgicamente en el cuerpo se multiplican. Un medidor de glucosa subcutáneo indicaría automáticamente el estado del paciente, y podría comunicarse con la bomba de insulina del paciente para regular así el flujo de insulina según las necesidades del organismo. Una cadena de sensores colocados en el cuerpo de un paciente proporcionaría información sobre sus parámetros vitales. Un chip insertado en la piel podría ser usado para almacenar la historia médica del paciente, como el famoso VeriChip[2], puesto en circulación entre 2004 y 2010, que llegó a ser usado en una discoteca de Barcelona como sistema de control de acceso[3]. Chips de otro tipo podrán efectuar liberaciones de fármacos de forma controlada en el cuerpo, ayudando a tratar enfermedades como la osteoporosis[4].
Las posibilidades están limitadas tan sólo por nuestra imaginación, pero para que puedan ser aceptadas y usadas de forma eficaz es esencial que los problemas de seguridad queden primero resueltos. Los requisitos de acceso para un marcapasos no son los mismos que para un sensor de glucosa. Puede haber casos en los que la compañía de seguros tenga una necesidad legítima de acceder a datos (para fines de calcular la mensualidad de la póliza, por ejemplo) y casos en las que no. Una serie de reglas de restricción, útiles en circunstancias normales, pueden resultar contraproducentes en una emergencia.
Sin intención de ser exhaustivo, podemos establecer que un sistema de control de acceso a un implante médico (sea para enviar instrucciones o para recibir datos) debe cumplir propiedades como:
—Permitir un acceso sencillo y preciso a las partes autorizadas, sea un médico en la consulta o un sanitario en un accidente de tráfico.
—Proteger la privacidad de dichos datos frente a terceros no autorizados y permitir la identificación correcta del dispositivo en cuestión (no queremos manipular el marcapasos equivocado, ¿verdad?)
—Permitir al personal autorizado configurar el sistema e impedirlo a otros.
—Ser discreto, impidiendo a terceras personas tener conocimiento de su existencia.
—Garantizar su acceso a otros dispositivos autorizados (por ejemplo, un sistema de liberación de insulina debería poder acceder a los datos del medidor de glucosa para poder ajustar la dosis de forma automática)
—Respetar la decisión del paciente sobre quién ha de tener acceso a los datos, y en qué condiciones.
—Ser eficiente en términos de tamaño, tiempo y energía[5]
El problema se complica si tenemos en cuenta que los posibles atacantes abarcan casi todo el rango de posibilidades, desde el asesino a sueldo hasta el hacker curioso, y con motivaciones que van de la ganancia económica al inocente “porque puedo hacerlo”. Imagine un usuario no autorizado que programe un marcapasos para que se detenga. Una orden sencilla, y un IDC envía un chispazo al corazón cuando éste no lo necesita. O bien un sensor de glucosa envía una falsa medida y como consecuencia no se envía una dosis de insulina[6]. Si el presidente de Estados Unidos lleva uno de esos aparatos, ya puede echar a correr Bruce Willis para salvarlo.
Si piensa que es un argumento de película muy cogido por los pelos, le doy a usted la razón. Dudo que el usuario típico de marcapasos sea objetivo de un complot internacional. Pero no hay que ir tan lejos. Los posibles móviles son múltiples, como indica un estudio de 2010: “obtención de información privada para ganancia financiera o ventaja competitiva; daño a la reputación del fabricante del dispositivo; sabotaje por parte de un empleado disgustado, un cliente insatisfecho o un terrorista para producir daños personales o financieros; o simplemente la satisfacción del ego del atacante”[7].
No es una preocupación teórica. En al menos dos ocasiones, hackers desconocidos asaltaron webs e introdujeron imágenes con colores rápidamente cambiantes, capaces de provocar ataques a personas epilépticos. Lo grave del caso es que las webs atacadas albergaban foros de apoyo a personas con epilepsia. La identidad de los atacantes se desconoce, aunque la descripción que dio un administrador de sistemas es, en mi opinión, bastante certera: “una panda de gente muy inmadura, que se regodea en sus intentos de causar daño a la gente”[8] [9].
Incluso ataques en apariencia inocentes pueden conllevar graves consecuencias. Recordemos que cuando hablamos de “ataque criptoanalítico” no nos referimos necesariamente a un asalto físico. Hablamos de tiempo de cálculo, espacio de claves, emisión de mensajes, captación de paquetes de datos, ese tipo de cosas. Interrogar electrónicamente a un sistema que tiene una batería limitada reducirá su vida útil. Cada vez que un paciente se suba al autobús, entre en un edificio con control de acceso o pase por un control aeroportuario, un lector de radiofrecuencia puede estar interrogando a su marcapasos. Si se diese el caso que su dispositivo implantado operase en la misma banda de frecuencias, tendría que responder, aunque fuese para decir “no, no soy un bonobús”, y en cada respuesta el sistema pierde energía. Peor aún, mientras se encuentra en dicho estado no puede enviar información al médico o ser re-programado, lo que nos plantea un problema de Denegación de Servicio (DoS) especialmente peligroso.
Creo que a estas alturas está bien claro el problema. Vamos con la solución. Aunque lo que sigue puede aplicarse a cualquier dispositivo médico implantado, en lo que sigue supondremos que estamos hablando de marcapasos. Como hemos visto, hay muchos intereses que regular, desde el derecho de privacidad del paciente hasta la necesidad de acceso por parte de los equipos de emergencia. Olvidemos los detalles por un momento. Si los datos salen y entran, habrá que protegerlos, y eso significa criptografía.
Consideremos, en primer lugar, un cifrado simétrico, rápido y eficiente, con dos claves: una en el marcapasos, otra en posesión del paciente. En condiciones normales, éste puede sacar su clave, insertarla en el aparato adecuado, y las lecturas saldrán en texto llano para ser utilizadas por el personal autorizado por el paciente.
Soluciones las hay, ya sea dar una copia de la clave a un tercero de confianza, guardar la clave en una tarjeta o habilitar una puerta trasera para equipos de emergencia. Todo ello crea nuevos puntos de vulnerabilidad. Las claves han de ser transmitidas, el tercero de confianza puede no estar disponible en un momento crítico (¡o no ser tan de confianza!), y las puertas traseras pueden ser mal utilizadas. Además de ello, requiere tiempo y calma, algo de lo que no suele andarse muy sobrado en situaciones de urgencia.
El principal punto débil de la criptografía simétrica consiste en que la clave de cifrado y de descifrado son la misma. Cualquier persona con acceso a dicha clave, sea un hacker o un médico autorizado, tendrá control del sistema. En ese caso, quizá fuera mejor considerar las ventajas de la criptografía de clave pública, donde las claves para cifrar (clave pública) y para descifrar (clave privada) son diferentes. La clave pública sería accesible para cualquier persona que la solicitase. Con una infraestructura de clave pública adecuada, cada hospital puede tener las claves públicas de todos los pacientes con marcapasos del país.
En cuanto a la clave privada, se almacenaría en el marcapasos, combinada con algún procedimiento para activarla a voluntad: una contraseña numérica escrita en papel, guardada en una tarjeta de memoria USB, en un colgante de ayuda médica, en un collar de plata con cristales de Swarowski, a elección del paciente.
Con la clave pública del paciente, el dispositivo de urgencias puede transmitirle al marcapasos una clave temporal para cifrar los datos que salen o las instrucciones que entran. La integridad de las comunicaciones puede garantizarse mediante sistemas de firma digital, lo que nos garantiza que ni el marcapasos ni el equipo del hospital intercambian información errónea o alterada. También permite garantizar que los interlocutores son solamente entidades autorizadas. En principio, problema resuelto con final feliz, particularmente en las áreas de autenticación e intercambio de claves.
Pero cuando usted lea “en principio”, debe acostumbrarse a traducirlo como “ni se le ocurra pensar que esto es tan fácil”“. La búsqueda de soluciones matemáticas teóricas no debe hacernos olvidar que, en el mundo real, estamos tratando con dispositivos que tienen graves limitaciones de tamaño, peso, energía y memoria. La criptografía de clave pública es onerosa en términos de tiempo de computación, y por tanto de energía, y un marcapasos tiene una capacidad de memoria y una energía limitadas. No se trata de un móvil con gran capacidad de cálculo, batería de tamaño respetable y un cargador con enchufes siempre a mano. Podemos aumentar la memoria del marcapasos merced a los avances de la técnica, pero no tanto la capacidad de la batería.
Es aquí donde entra una tecnología que parece creada a medida para la ocasión: la Identificación por Radiofrecuencia, RFID (Radio-Frequency IDentification). Se trata de un sistema de almacenamiento de datos basados en pequeños y sencillos chips, que pueden interaccionar mediante ondas de radio de corto alcance. Los chips RFID son pequeños y muy baratos de fabricar, lo que facilita su comercialización en masa; en el apartado negativo, disponen de escasa capacidad para almacenamiento de datos. Su campo de aplicación inicial fue el de identificación de productos, actuando como etiquetas programables. Permite el seguimiento de paquetes en entornos logísticos complejos como servicios de mensajería o grandes superficies. Sirven para etiquetarlo todo, desde pantalones vaqueros a mascotas, pasando por entradas a grandes eventos. También se utilizan como medios de pago en transportes u otros sistemas de micropagos. Yo tengo uno en mi cartera, y me permite pagar el billete del autobús sin sacar la tarjeta. Incluso los pasaportes españoles actuales incorporan un chip de radiofrecuencia.
Los sistemas RFID activos pueden disponer de su propia fuente de energía, pero otros muchos modelos funcionan en modo pasivo, activándose mediante la señal de radiofrecuencia que recibe del exterior. Esto los convierte en buenos candidatos para un sistema de comunicación con dispositivos médicos implantados. Antes de considerarlos, han de solventar dos problemas para ser aceptable, ya no en el campo médico, sino en general: privacidad y seguridad.
Del mismo modo que no queremos una tarjeta chismosa que filtre al exterior el saldo que nos queda, no es buena idea que el RFID transmita información médica confidencial. Ya ha habido casos en los que terceros no autorizados intentaron acceder a la información de tarjetas RFID para su propio beneficio. Por poner un ejemplo, en marzo de 2008 se supo que los servicios de inteligencia británicos habían solicitado acceso total a la información transmitida por las tarjetas de transporte Oyster que se utilizan en Londres. En ese caso, lo que a James Bond le interesa saber no es cuántos viajes de metro te queden, sino dónde estás: rastrear las tarjetas Oyster proporciona gran cantidad de información sobre posición y hábitos de sus usuarios[10].
Ese mismo motivo —evitar el rastreo y preservar la propia privacidad— provocó en noviembre de 2012 un enfrentamiento entre las autoridades escolares de Tejas y una alumna que rehusó llevar una tarjeta con RFID. El colegio utilizaba este procedimiento para rastrear la posición de todos sus estudiantes, y cuando una alumna se negó a ello fue expulsada de modo fulminante[11]. El colegio afirmó que el sistema era necesario para reducir el absentismo escolar; por su parte, los padres de la joven han llevado el caso a los tribunales[12]. Ese es el gran problema de los dispositivos RFID: sea cual sea su propósito permiten el rastreo de la persona que los lleva, y de ahí se pueden deducir patrones de conducta.
Asimismo, debemos establecer salvaguardias para evitar que el chip sea hackeado o modificado por usuarios no autorizados. Desde el momento en que se utilizan en medios de pago, cualquier posibilidad de alterar uno de estos chips de forma no autorizada permite ganancias económicas. Ya que estamos con James Bond, esto le permitiría viajar gratis en metro. O pasar por las autopistas sin pagar. O, sencillamente, hacerse con un pasaporte falso. Idénticas consideraciones podemos hacer con los dispositivos médicos, donde lo que uno se juega no es dinero sino la propia salud.
La amplia experiencia de que se dispone con los sistemas RFID nos facilitará la tarea de evaluar la forma en que se intentaron resolver los problemas de autenticación y cifrado, y sobre todo, de hasta qué punto se consiguió el éxito. La cuestión no es fácil. Las soluciones criptográficas habituales existen, por supuesto, pero no son sencillas en este entorno. Los dispositivos RFID son pequeños y sencillos, con una capacidad de almacenamiento de datos muy escasa. En la mayoría de los casos, apenas pueden hacer otra cosa que transmitir su número de serie cuando se les interroga desde el exterior. Incluso los modelos más sofisticados tienen una capacidad de cómputo muy restringida por motivos de espacio y energía. Por dichos motivos, los fabricantes de RFID han utilizado sistemas criptográficos hechos a medida; y a veces, mal cortados.
Uno de los fabricantes de tarjetas RFID es la empresa NXP Semiconductors, una antigua filial de Philips vendida en 2006. Según su propia publicidad, han fabricado más de 4500 millones de tarjetas con tecnología RFID incorporada. Uno de sus productos estrella es la línea de tarjetas Mifare, algunas de las cuales utilizan algoritmos de cifra propietarios. El uso de cifrado hecho a medida es, hasta cierto punto, una buena idea en este tipo de tarjetas, debido a las limitaciones que tiene. El inconveniente estriba en el hecho, contrastado por la experiencia en otros muchos campos, de que la criptografía de invención propia raramente da buenos productos.
Para demostrarlo, un doctorando de la Universidad de Virginia llamado Karsten Nohl se puso manos a la obra. Sus resultados, obtenidos en colaboración con el investigador alemán Henryk Plötz, fueron presentados en diciembre de 2007 en el Chaos Communications Congress, una famosa reunión de hackers alemanes[13]. El proceso de hackeo de la tarjeta les resultó lento y laborioso, pero una vez hecho afirmaron que en el futuro bastaría con un portátil, un escáner y unos pocos minutos para conseguir la clave criptográfica de una tarjeta Mifare Classic y duplicarla[14].
Vamos a examinar el proceso. Lo primero que hicieron Nohl y Plötz fue tomar una tarjeta e intentar deducir su funcionamiento. Por medio de un microscopio electrónico, obtuvieron la estructura básica del chip: un conjunto de miles de bloques (cada uno de los cuales podía ser una puerta lógica AND o una OR), distribuidos en varias capas. Por fortuna para los investigadores, los bloques correspondían a tan sólo setenta tipos de puertas lógicas distintas. A continuación, buscaron las zonas criptográficamente importantes del chip. Suena más fácil de lo que fue en realidad, pero al final consiguieron reconstruir el algoritmo de cifrado, un sistema propietario que la empresa denomina Crypto-1.
El primer paso estaba dado. En palabras de Nohl, “puesto que la seguridad de las tarjetas Mifare se basa en parte en mantener el algoritmo en secreto, creemos que las tarjetas son demasiado débiles para cualquier aplicación de seguridad puesto que el algoritmo puede hallarse sin mucho esfuerzo”. Crypto-1 resultó ser un sistema de cifrado en flujo (stream cipher) basado en un registro LFSR que se activa con una clave de 48 bits. El lector tiene una descripción detallada de los registros LFSR en el tema “Descifrando a Nemo,” así que no me repetiré aquí.
Un algoritmo hecho en casa, por muy bueno que sea el equipo local, es campo abonado para los fallos. Lo hemos visto hasta la saciedad en este libro, y aquí tenemos otro ejemplo. Resultó que el generador de números aleatorios de la tarjeta, necesario para establecer una sesión de autenticación con el exterior, está mal diseñado y dista mucho de ser aleatorio, lo que significa que el proceso de autenticación puede ser falsificado. Mal comenzamos.
En cuanto al cifrado, una clave de tan sólo 48 bits no parece mucha protección, y puede resolverse mediante métodos de fuerza bruta, esto es, probar todas las claves posibles. Ni siquiera eso es necesario, ya que el algoritmo de cifrado tiene fallos. Para obtener un flujo de clave pseudoaleatorio (con el que luego se podrá cifrar la información), el registro LFSR controla un sistema denominado función de filtrado. Pues bien, el flujo de bits que proporciona esa función de filtrado no es aleatorio. Eso permitió a Nohl y Plötz diseñar una ataque: enviando a la tarjeta patrones de bits cuidadosamente seleccionados y examinando las respuestas de ésta, se pueden obtener más de la mitad de los bits de la clave secreta. La combinación de ambos factores permitió demostrar que bastaban unos pocos minutos para hackear la tarjeta.
La respuesta de la empresa fabricante no sorprendió, porque ya la hemos viso en otros casos. Básicamente vinieron a decir: a) las tarjetas Mifare Classic son un producto de baja gama, y no fueron diseñadas para entornos de alta seguridad como pasaportes o sistemas bancarios; b) sólo atacaron una de las muchas capas de seguridad que hay en el sistema; c) un ataque sería muy costoso y llevaría horas atacar una sola tarjeta[15].
Es cierto que una tarjeta contiene un equivalente económico escaso, pero si se cuenta el coste del sistema en su conjunto, los números marean. En aquel tiempo, Holanda había invertido ya entre mil y dos mil millones de euros en el sistema de tarjetas RFID (OV-chipkaart) para su red de transporte público, y tuvo mucho interés en que Nohl y Plötz comparecieran ante su Parlamento para dar testimonio acerca de su descubrimiento. La tarjetas Mifare Classic también se utilizaban en el transporte público de otras ciudades como Boston y Londres.
Dos investigadores de la Universidad de Radboud en Nimega (Holanda) convirtieron la ruptura teórica de Nohl y Plötz en un ataque real. En junio tomaron una tarjeta Oyster, de las que se usan en el metro de Londres (y que está basada en la Mifare), la hackearon y pudieron viajar a placer por el “Tubo” gratis. Los holandeses se tomaron el problema muy más en serio, y el Secretario de Estado, Tineke Huizinga, rogó a las autoridades universitarias que no publicasen los resultados, algo a lo que la universidad se negó. La empresa fabricante, NXP no estaba para sutilezas y acudió a los tribunales. Sin embargo, el juez holandés que vio el caso decidió que la libertad de expresión primaba en este caso sobre los intereses comerciales, y autorizó la diseminación de los resultados[16] [17] [18] [19].
Una semana después del fallo judicial, como si fuese un caso de justicia poética casual, el sistema de tarjetas Oyster del metro de Londres se vino abajo por “problemas técnicos” y los londinenses disfrutaron de un día de metro gratis. Como resultado de todo ello, dos semanas después el alcalde de Londres anunció la terminación del contrato con Transys, el grupo de empresas que proporcionaba las tarjetas Oyster. El motivo aducido era que así se ahorraría dinero (el sistema Oyster costaba, tan sólo en mantenimiento, 100 millones de libras esterlinas al año). También el gobierno holandés se pensó dos veces antes de seguir adelante con sus planes. Finalmente, el despliegue del sistema de tarjetas OV-chipkaart continuó; sospecho que, sencillamente, no tenían alternativa después de haberse gastado una suma tan enorme. En octubre de 2011, se anunció la sustitución de las tarjetas Mifare Classic de NXP por un sistema diferente de otra empresa.
La debacle de las tarjetas de NXP cruzó el Atlántico. La Massachusetts Bay Transit Authority (MBTA), encargada de gestionar el transporte público en la zona de Boston, lanzó su propio ataque legal contra tres estudiantes del Instituto de Tecnología de Massachusetts (MIT) por atreverse a redactar un artículo para la reunión sobre seguridad DEFCON, que se celebraría en agosto de 2008. La víctima esta vez era la tarjeta CharlieCard, cuyo sistema RFID utiliza la tecnología de (sorpresa, sorpresa) Mifare Classic. Aunque la MBTA consiguió impedir la presentación de resultados en DEFCON gracias a una orden restrictiva, dicha orden no fue prorrogada, y ni que decir tiene que ahora los datos están libremente disponibles en Internet[20]. Por cierto, que ese mismo mes casi 5000 expertos se reunieron en Las Vegas para una de las más famosas reuniones sobre seguridad, la Black Hat. Todos esos asistentes llevaban una placa identificativa que contenía una tarjeta RFID. ¿Saben qué sistema usaba dicha tarjeta? ¡La Mifare Classic! En casa del herrero…[21]
Últimamente se está desarrollando una tecnología para micropagos llamada Comunicaciones de Campo Cercano o NFC (Near Field Communications). Viene a ser una especie de RFID con dos diferencias fundamentales: tiene un alcance menor (pocos centímetros), y un nombre distinto. La primera propiedad le asegura mejor protección frente a fisgones no autorizados, y en cuanto a la segunda le permite dejar atrás la mala publicidad ligada a los sistemas RFID que acabamos de ver.
Por desgracia, no deja de tener sus fallos de seguridad. En octubre de 2012, dos investigadores especializados en seguridad de móviles hicieron un descubrimiento fortuito. Las tarjetas de autobús de ciudades como San Francisco son Mifare Ultralight y están basadas en NFC; quizá pudieran ser leídas por un Google Nexus S, un móvil que también incorporaba esa tecnología. Lo intentaron y lo consiguieron. Lo interesante es que, según comprobaron, los bits que indicaban cuántos viajes quedaban en la tarjeta no solamente se podían ver, sino también modificar. No había más que crear una aplicación para Android que efectuase esa modificación, y de repente tenemos el equivalente a una tarjeta con viajes infinitos[22]; y eso a pesar de que una salvaguardia de seguridad de las tarjetas debería haber impedido esa modificación.
Eso es precisamente lo que hicieron los autores, pero no espere encontrar la aplicación (llamada UltraReset) en la tienda online. Sí puede usted descargarse UltraCardTester, de los mismos autores, similar a la anterior pero que no permite re-escribir la tarjeta[23]. Los autores no querían problemas legales, pero como dijo uno de ellos: “no soy un desarrollador de software, así que si alguien sabe lo que hace es muy fácil hacerlo”[24]. El problema se hace especialmente grave por la facilidad del ataque. Nada de ordenadores ni lectores de tarjetas, tan sólo un móvil dotado con tecnología NFC y una aplicación software.
La pobre NXP, que vio cómo la historia de la Mifare Classic se repetía, no pudo menos que reconocer la validez del ataque, al tiempo que ofrecía como solución la Mifare Ultralight C, que incorpora seguridad criptográfica[25]. Yo no sé cuál es el tipo de tarjeta que utiliza el servicio de autobuses urbanos de mi ciudad, pero sí les puedo decir una cosa: antes de cambiar a las tarjetas RFID, nunca vi un solo revisor en un autobús, y ahora es raro el trimestre que no me encuentro con uno.
Si les parece bien, volvamos al hospital, que tenemos allí un problema esperándonos. Como hemos visto, la tecnología RFID parece prometedora pero tampoco es la solución mágica. Eso no significa que no podamos aplicarla a dispositivos médicos, sino que la seguridad y la privacidad han de ser reforzadas. Pero incluso si se resuelven los problemas del cifrado y la autenticación, seguimos teniendo serias restricciones. Cruzarse de brazos y tirar la toalla no es una opción, y por ello un equipo de investigadores de las universidades de Washington, Massachusetts-Amherst y de la Escuela Médica de Harvard realizó en 2008 un estudio sobre un desfibrilador automático implantable (DAI) comercial que se comunica en forma inalámbrica con el exterior[26].
En la primera parte del estudio, demostraron que es posible, usando osciloscopios y equipo técnico diverso, interrogar por vía inalámbrica al DAI y, mediante técnicas de ingeniería inversa, determinar cómo funciona. Algunos resultados son preocupantes. Por ejemplo, se supone que el DAI que utilizaron solamente transmitía datos al acercar un imán exterior para cerrar un interruptor magnético. Sin embargo, el equipo consiguió activar la transmisión telemétrica sin imán, utilizando solamente una orden de radiofrecuencia.
El trabajo muestra que el DAI cotilleaba más que una portera. La información que transmitía en claro (sin cifrar) incluía el nombre del paciente, su fecha de nacimiento, número identificador médico e historia clínica. Con los datos extraídos, fue un juego de niños deducir datos como el nombre y número de teléfono del médico, la fecha de implantación del DAI, modelo y número de serie. Las medidas de telemetría revelaron el ritmo cardíaco. Y menos mal que los autores no se lanzaron a un estudio a fondo de los protocolos de comunicación. Quién sabe que habría revelado un estudio de ingeniería inversa completo.
A continuación, se dedicaron a jugar a los ataques, escogiendo los que requerían poca complicación y violaban la confidencialidad o integridad de los datos. De nuevo, los resultados asustan. No solamente consiguieron sonsacar al DAI los datos mencionados en el párrafo anterior, sino que llegaron a cambiar algunos de los datos que almacenaba, como el nombre del paciente o el reloj interno. También consiguieron interferir con las respuestas a eventos peligrosos, de modo que no se activase el “chispazo” de 700 voltios cuando lo necesitase. Y a la inversa, consiguieron saltarse las salvaguardias contra chispazos accidentales y hacer que el DAI indujese una fibrilación ventricular no autorizada. También reprodujeron con éxito un ataque de denegación de servicio, haciendo que el DAI transmitiese datos continuamente.
Los investigadores eran conscientes de que las soluciones criptográficas, como hemos visto aquí, son onerosas en términos de energía, y pueden provocar problemas en casos de emergencia. Por ese motivo, ofrecieron lo que ellos llaman soluciones de potencia cero, que aumentan la seguridad del sistema sin requerir energía extra.
El primer paso consiste en un sistema de alarma, en la forma de un sensor piezoeléctrico que cuando recibe una señal de radiofrecuencia emite un pitido de aviso (que puede sustituirse por una vibración). Dicho sensor está unido a un chip RFID especial llamado WISP (Wireless Identification and Sensing Platform) que extrae energía de una señal de radiofrecuencia externa, de modo que no requiere energía extra del dispositivo. Para comprobar la eficacia del sensor, los autores hicieron una prueba “en vivo,” aunque el término no es literal, por supuesto: las pruebas se hicieron con un DAI comercial insertado dentro de una bolsa llena de bacon y carne de ternera.
La segunda línea de defensa es un esquema de autenticación, y aquí entra la criptografía. Partimos de una clave maestra Km almacenada en una forma segura dentro de los dispositivos que puedan interactuar con un dispositivo implantado. A estos dispositivos se les suele llamar programadores (no confundir con los programadores humanos). Por su parte, cada DAI tendrá un número de serie identificativo I y una clave propia K calculada como función de ambos factores: K = f(Km,I). En principio, f será una función criptográficamente fuerte y pseudoaleatoria (los autores proponen el algoritmo de cifra simétrica AES).
Para iniciar la comunicación, el programador le envía al DAI una petición de autenticación, una especie de “hola, responda”. Es habitual en los protocolos de autenticación intercambiar un número aleatorio para evitar que un atacante pueda usar una comunicación grabada con anterioridad. El DAI responde al (de momento, presunto) programador enviando dos datos: su identificador I y un número N generado de forma aleatoria. El programador calcula K=f(Km,I) para obtener la clave del DAI, y a continuación utiliza un algoritmo de cifra en bloque (los autores proponen el algoritmo RC5) usando K como clave y N como mensaje. El resultado R = RC5(K,N) se envía al DAI. Éste, por su parte, calcula el resultado de usar RC5 usando K como clave y N como mensaje, es decir, R’ = RC5(K,N). El intercambio de datos vendría dado de esta forma:
Programador--IDC
Hola -------------------->
-------<----- (I , N) ----
f(Km,I) = K
RC5(K,N) = R
---------- (R) ---------->
--------------RC5(K,N) = R’
--------------¿R = R’?
Este esquema puede parecer complicado, pero cumple bien su cometido. En primer lugar, durante el proceso no hemos intercambiado ningún dato sensible. Un atacante tan sólo podrá captar I (un número de identificación que no es secreto), N (un número aleatorio sin ninguna particularidad especial) y R (resultado de cifrar N con una clave desconocida). Ni K ni Km han abandonado en ningún momento sus contenedores.
Por otro lado, la respuesta del programador indica al DAI si es de fiar o no. Imaginemos por un momento que un interlocutor desconocido intenta ligar con el DAI, y, tras el intercambio de datos, R y R’ no coinciden. Si eso sucede, puede ser por uno de los siguientes motivos.
—El interlocutor no conoce la clave maestra Km, lo que significa que no está autorizado para intercambiar información.
—La respuesta R del interlocutor está basada en un número aleatorio N’ distinto de N, lo que indica que está reproduciendo un intercambio de datos grabado en el pasado.
—La respuesta está basada en un identificador I’ distinto de I, esto es, está intentando colar la conversación que tuvo con otro DAI.
Es decir, sólo si R’ = R podemos estar seguros de que el interlocutor conoce la clave secreta (Km) y ha respondido a la petición de identificación hecha en este momento y lugar.
En todo el proceso solamente se han utilizado algoritmos de cifra simétrica, que son más rápidos y eficientes que los de clave pública. Para simplificar el proceso de prueba, el equipo probó con un valor de N constante, lo que reduce la seguridad pero simplifica el proceso, y consiguieron ejecutar con éxito el algoritmo RC5 en el chip WISP, que recordemos toma la energía del exterior. Su conclusión es que este esquema funciona de forma adecuada para proteger al menos partes vitales de la información, aunque la pregunta de si puede usarse para cifrar todo el flujo de datos permanece sin respuesta todavía. Tampoco resuelve el problema de la gestión de claves (cómo crear, administrar y diseminar todas las Km, almacenarlas en lugar seguro y revocarlas si es preciso) en entornos con grandes cantidades de claves revoloteando por ahí, si bien hay que tener en cuenta que ese no era el objeto del estudio.
Finalmente, la tercera solución de potencia cero consiste en utilizar un canal distinto para transmitir la clave criptográfica. En lugar de enviar la clave por radiofrecuencia, se transmitiría mediante un canal de comunicación basado en ondas acústicas o ultrasónicas. El aparato programador, situado en el exterior, tendría un micrófono que solamente podría captar la información en el caso de que estuviese físicamente en contacto con la piel del paciente; de otro modo, la señal sería demasiado débil para ser captada.
Es decir, la triple solución de potencia cero se basa en a) avisar de ataques no autorizados, b) usar criptografía, al menos en forma simplificada, y c) decir la clave al exterior en voz muy baja.
Hay otras soluciones en marcha. Un grupo del MIT y de la Universidad de Massachusetts-Amherst propuso en 2011 utilizar un “escudo” que protegería un dispositivo médico implantado sin necesidad de modificarlo, evitando la decodificación de mensajes legítimos al tiempo que impide los intentos de comunicación no autorizados. El escudo emite una señal de interferencia que impide cualquier comunicación directa con el dispositivo. Solamente los datos que pasen por el escudo recibirán una “señal antídoto” que los descifrará[27].
La ventaja de este sistema está en que la seguridad del sistema no precisa de energía que tenga que ser drenada del dispositivo. El escudo es externo al cuerpo, puede llevarse colgado como un pequeño collar y en principio puede utilizarse en cualquier tipo de dispositivo implantado. Es una forma elegante de “externalizar” el problema de la seguridad a un aparato físicamente desvinculado del dispositivo implantado. Ya ha sido probado con éxito en un DAI “en vivo” (entiéndase “en un paquete de bacon y carne de ternera”).
Otros investigadores han abogado por el uso de rasgos biométricos. En 2009, un grupo del Darmouth College en Hanover (EEUU) propuso utilizar patrones característicos del latido de un corazón con fines de autenticación. Los rasgos de un electrocardiograma, combinados con datos de acelerómetros, servirían como identificadores biométricos. Esta idea no incorpora solución de cifrado pero permite verificar la identidad del paciente a distancia, y ha sido planteada con fines de monitorización a distancia[28].
En el caso de que se adopte una solución criptográfica basada en una contraseña, es esencial garantizar un acceso a dos niveles. Habitualmente, el paciente la tendría bajo su control, pero en el caso de que perdiese el control (por estar inconsciente o gravemente herido), el equipo médico de emergencia debería poder acceder a ella. Un estudio reciente examinó diversas posibilidades, desde el punto de vista tanto de sus características técnicas como de su aceptación social[29].
El método más sencillo consiste en grabar la contraseña en un brazalete o chapa de alerta médica. Proporciona una seguridad aceptable en situaciones normales, y tiene la ventaja de que muchos pacientes ya están familiarizados con el concepto del brazalete médico. Como desventaja, resultan poco discretos. A algunos pacientes no les gustó que el brazalete fuese mostrando a todo el mundo que tiene una enfermedad. Para uno de ellos, el mero hecho de llevar un objeto que le recordaba constantemente su condición de paciente con marcapasos le resultaba molesto: “me sentía como un inválido”.
Como alternativa al brazalete, el paciente puede llevar una pulsera con un dispositivo llamado “ocultador,” que funciona de firma similar al “escudo” anteriormente mencionado pero con una diferencia: cuando se retira el ocultador, el sistema cambia sus reglas de acceso y autoriza la comunicación con cualquier aparato programador externo. En este caso, la seguridad estriba en el control físico que hace la persona. Los entrevistados expresaron su satisfacción por los modelos que incorporan opciones mejoradas (como los ocultadores que dan la alarma al 112 automáticamente cuando detectan una emergencia cardíaca), pero no mostraron simpatías hacia los modelos estándar por motivos similares a los de los brazaletes: ir expresando públicamente la propia debilidad mediante una pulsera no resulta agradable. Otros problemas incluían las molestias derivadas de tener que llevarlo a todas horas, recordar quitárselo en la ducha, temores a que se enganche con otros objetos, etc.
La tercera opción es un tatuaje. Sí, un tatuaje. La contraseña del sistema se codifica en forma de un código de barras bidimensional QR y se tatúa en el paciente, preferentemente en una zona donde no sea habitual sufrir un accidente o quemadura. A pesar de su utilidad, la idea del tatuaje resultó ser la menos atractiva para los pacientes. Los motivos del rechazo fueron fundamentalmente de carácter cultural. A un participante le disgustaban los tatuajes porque los asociaba con borrachos; otra decía que no le gustaba la imagen que de ella proyectaba cara al público. Una persona judía fue brutalmente sincera en su comentario: “para mí, un tatuaje en el brazo me recuerda a un campo de concentración”.
Los propios autores del estudio reconocen haber tenido “reticencias acerca de incluir identificadores basados en tatuajes, especialmente considerando una posible asociación con el tatuado de prisioneros en campos de concentración durante la Segunda Guerra Mundial… teníamos la hipótesis de que ese sistema, si bien satisfactorio desde el punto de vista técnico, no sería satisfactorio desde el punto de vista del paciente“”.
Sin embargo, tatuar información de acceso (una palabra o frase de contraseña) es esencialmente una buena idea, y de hecho ninguno de los participantes en el estudio rechazó la alternativa por insegura. Por ello, los médicos ofrecieron otra opción, ya apuntada ese mismo año por Stuart Schechter, de Microsoft[30]. Consiste en utilizar un tatuaje con tinta ultravioleta. En condiciones normales es invisible al ojo humano, pero resulta perfectamente legible ante un lector dotado de luz ultravioleta.
El sistema de tatuaje también tiene sus inconvenientes. Algunos pacientes pueden sufrir irritaciones en la piel, o quizá algún riesgo a largo plazo para la salud. También son susceptibles a daños físicos, como quemaduras o amputaciones. Incluso manchas de grasa o sangre pueden entorpecer la lectura de la clave. Quizá fuese conveniente hacer copias del tatuaje en varias partes del cuerpo. Si los médicos tienen la sensibilidad suficiente para poder hacerlos sin que recuerden a los tatuajes de los campos de exterminio nazi (nada de ponerlos en el brazo, por ejemplo), pueden ser una alternativa válida no sólo desde el punto de vista de la seguridad, sino de la aceptación por parte de los pacientes.
En diversas partes de este libro he añadido una sección de consejos para aprender cómo protegernos de los diversos peligros criptográficos que nos amenazan. El caso de los dispositivos insertados en el cuerpo es tan novedoso que, como habrán visto, las soluciones de seguridad todavía se están desarrollando. En ese sentido, ni puedo recomendarles prácticas seguras a seguir ni puedo guiarles al respecto.
Pero sí puedo, y debo, dejarle algo claro a más allá de toda duda razonable: renunciar a dichos dispositivos NO es una opción. Por favor, no se asuste con los fallos técnicos que le he descrito aquí. Hasta la fecha, no se han detectado ataques contra marcapasos o desfibriladores implantados en un cuerpo humano. Si bien los problemas que hemos mostrado aquí son factibles tanto de forma teórica como práctica, aún no se han dado en el mundo real.
En ningún caso un paciente debería plantearse dejar de utilizarlos por ese motivo. Los firmantes de uno de los estudios mencionados anteriormente lo afirmaron de forma tajante:
Creemos firmemente que nada en nuestro informe debe disuadir a los pacientes que necesiten estos dispositivos si se los recomienda su médico. El desfibrilador cardíaco implantable es una técnica probada que salva vidas. Creemos que el riesgo a los pacientes es bajo y que los pacientes no deberían alarmarse.
No puedo estar más de acuerdo con esa afirmación. Si su médico le recomienda un dispositivo desfibrilador, una bomba de insulina, un marcapasos o aparato similar, siga su consejo profesional. Son técnicas probadas que salvan vidas.