Ciberseguridad para evitar el 'hackeo' cerebral
Los datos generados por tu historial de navegación en Internet, por ubicación geográfica, por formularios completados ‘online’ o por lo que tecleas al ordenador pueden delatar información íntima, como tu orientación sexual o tu intención de voto. ¿Imaginas lo que se podría aprender sobre ti con acceso a tus pensamientos? La llegada de las interfaces cerebro-máquina, que conectan ordenadores directamente con la mente, ha puesto sobre la mesa este problema.
Si bien no existe el conocimiento científico ni la neurotecnología necesarios para leer la mente, ya se han desarrollado dispositivos comerciales capaces de registrar información neuronal delicada. Por ejemplo, las diademas de electroencefalografía, que detectan ondas cerebrales producidas por los impulsos neuronales, se emplean en estudios de marketing para evaluar emociones y reacciones inconscientes a productos o eventos. “Esta información del cerebro, si se procesa de una forma adecuada, puede revelar información crítica de una persona”, explica Pablo Ballarín, cofundador de la consultora de ciberseguridad Balusian.
Origen de los ‘neuroriesgos’
Los problemas de seguridad asociados a la neurotecnología no son nuevos: se podrían dar casos de acoso, de crimen organizado y tráfico de datos personales, igual que ya ocurre con ciberataques y malas prácticas en otros sectores digitales. Sin embargo, lo que es novedoso es la naturaleza de esos datos. Al generarse directamente en el cerebro, conforman por un lado información médica delicada y, por otro, pistas sobre la identidad y los mecanismos íntimos que guían nuestras decisiones.
Para demostrar que el riesgo es real y no solo teórico, los investigadores se han puesto manos a la obra, hackeando dispositivos neurotecnológicos comerciales para tratar de extraer información que podría resultar útil a un cibercriminal. Varios equipos de científicos y tecnólogos han demostrado que es posible plantar ‘spyware’ (programas de espionaje) en una interfaz cerebral comercial —por ejemplo, una diseñada para controlar un videojuego con la mente—, y de este modo robar información del usuario.
Insertando imágenes subliminales en un videojuego de este tipo, los ‘hackers’ pueden sondar la reacción inconsciente de la mente del jugador ante estímulos concretos, como direcciones postales, datos bancarios o caras humanas. Así, pueden obtener información como el número PIN de una tarjeta de crédito o un lugar de residencia.
Ballarín, que es ingeniero de telecomunicaciones y experto en ciberseguridad, ha hecho el experimento él mismo, llegando a ‘hackear’ una diadema de electroencefalografía de un fabricante reconocido para interceptar los datos neuronales que transmite al teléfono móvil asociado. “Si eres capaz de procesar e interpretar esas señales, puedes obtener información acerca de una enfermedad, de las capacidades cognitivas o de los gustos del usuario, que pueden ser muy personales, incluso gustos sexuales o temas que ni siquiera hablarían con su pareja”, advierte el tecnólogo.
En el peor de los casos, una interfaz bidireccional —es decir, una que no solo lee señales del cerebro sino que también las envía, por ejemplo en la forma de impulsos nerviosos (a una prótesis, a una silla de ruedas o al propio sistema nervioso)—, se podría ‘hackear’ para hacer daño físico al usuario o a otras personas. Ya en 2007, los médicos desactivaron las funciones inalámbricas en el marcapasos de Dick Cheney, entonces vicepresidente de los Estados Unidos, para prevenir un posible intento de asesinato por ciberataque.
Garantías de privacidad mental
Las medidas para salvaguardar los datos neuronales deberán ser técnicas y políticas. Ya existe regulación internacional, como el Reglamento General de Protección de Datos (RGPD) en Europa, que en teoría limita el tratamiento y tráfico de la información cerebral —como cualquier dato personal— con la intención de preservar la privacidad. Sin embargo, las empresas no siempre son transparentes con su forma de anonimizar los datos que recogen. Incluso cuando lo son, Ballarín señala que “es fácil volver a relacionar información anonimizada con personas concretas”.
En un artículo publicado en la revista Nature y titulado ‘Cuatro prioridades éticas para las neurotecnologías y la inteligencia artificial’, el neurobiólogo de la Universidad de Columbia Rafael Yuste, junto con varios compañeros del sector, proponen tres medidas concretas. Primero, para evitar el tráfico de datos cerebrales, abogan porque las empresas de neurotecnología no tengan permiso para compartir información de sus usuarios por defecto, y que solo puedan ceder esta información a terceros con el consentimiento explícito de los consumidores.
Aún así, los autores reconocen que los datos ofrecidos voluntariamente por algunos usuarios se podrían usar para sacar conclusiones sobre otros que valoran más su privacidad. “Proponemos que la venta, transferencia comercial y uso de datos neuronales sigan una regulación estricta. Esta regulación —que también limitaría la posibilidad de renunciar a los datos neuronales propios o implantar datos neuronales en el cerebro por una recompensa económica— podría ser análoga a la legislación que prohíbe la venta de órganos humanos”, escriben Yuste y sus compañeros en el artículo.
A continuación, sugieren medidas tecnológicas para evitar el procesado de señales en una base de datos centralizada, citando como ejemplos las técnicas de ‘blockchain’ o el aprendizaje federado. En esta línea, un grupo distinto compuesto por científicos de la Universidad de Washington propone que los dispositivos neurotecnológicos realicen una separación ‘in situ’ de los distintos componentes de las señales cerebrales. Así, la interfaz cerebro-máquina puede enviar al dispositivo de control (normalmente un teléfono móvil u ordenador asociado) solo la información relevante para la tarea que debe ejecutar.
Por ejemplo, un sensor de electroencefalografía diseñado para controlar una silla de ruedas podría transmitir solo la componente de las ondas cerebrales que contiene información relevante a la intención de movimiento, y no otros componentes que puedan delatar, pongamos, sensaciones emotivas. El razonamiento es que, si se limita el almacenaje y el envío de datos en bruto, se limitan las oportunidades de interceptar información útil para criminales u otros actores oportunistas.
No obstante, investigadores ajenos han señalado que esta técnica exige mejoras en el rendimiento de los dispositivos neurotecnológicos actuales, ya que además de incluir sensores, también deberán ser capaces de procesar datos antes de transmitirlos. Además, restringir el acceso a la señal en bruto limita las oportunidades para el desarrollo de ‘software’ por terceros.
El reto está servido. Según Ballarín, las soluciones de ciberseguridad deben impulsarse desde la regulación internacional; pero como las medidas legales siempre llegan tarde para “dar respuesta a un problema de hace mucho tiempo”, serán los propios fabricantes quienes deban anticiparse a las vulnerabilidades. En última instancia, rendirán cuentas ante los consumidores, que deberían estar informados de los riesgos para velar por sus propios intereses.