El trabajo demuestra que es posible
codificar malware en un gen y utilizarlo para tomar el control de un programa
de ordenador. Aunque el ataque se realizó en condiciones especiales y es poco
probable que se utilice en un futuro próximo, los expertos lo consideran un
nuevo tipo de amenaza
Parece que la ciencia ha conseguido,
por primera vez, hackear con éxito un programa de software con un fragmento de
ADN. Según los investigadores responsables de la hazaña, el malware que
incorporaron a una molécula genética les permitió tomar el control de la
computadora usada para analizarla.
El malware biológico ha sido creado
por científicos de la Universidad de Washington en Seattle (EEUU), en lo que
consideran el primer "exploit basado en ADN de un sistema
informático".
Para llevar a cabo el hackeo, los
investigadores, liderados por Tadayoshi Kohno y Luiz Ceze, codificaron software
malicioso en una corta secuencia de ADN que compraron en internet. Luego lo
usaron para lograr el "control total" de un ordenador para que
procesara datos genéticos leídos por una máquina de secuenciación de ADN.
Los investigadores advierten de que en
un futuro los hackers podrían usar muestras falsas de sangre o saliva para
obtener acceso a ordenadores universitarios, robar información de laboratorios
forenses de la policía e infectar archivos genómicos compartidos por
científicos.
Aunque, de momento, el malware de ADN
no plantea un gran riesgo de seguridad. Los investigadores admiten que para
infliltrarse en el sistema, diseñaron un escenario con las "mejores
posibilidades" de éxito al deshabilitar funciones de seguridad e incluso
añadir una vulnerabilidad a un programa bioinformático poco utilizado.
"Su exploit es sencillamente poco
realista", opina el genetista y programador Yaniv Erlich, que es director
científico de MyHeritage.com, una página web de servicios de genealogía.
Kohno fue una de las primeras personas
en mostrar cómo hackear un automóvil a través de su puerto de diagnóstico, y
más tarde también demostró cómo obtener acceso en remoto al atacar las
conexiones Bluetooth de los coches.
El nuevo malware de ADN se está
presentando esta semana en el Simposio de Seguridad de Usenix en Vancouver
(Canadá). El estudiante de postgrado en el Laboratorio de Investigación de
Seguridad y Privacidad de Kohno Peter Ney detalla: "Nos fijamos en las
tecnologías emergentes y nos preguntamos si podrían dar lugar a nuevas amenazas
de seguridad, con la idea de llevar la delantera".
Para hacer el malware, el equipo
tradujo un simple comando de ordenador a una breve secuencia de 176 letras de
ADN, denominadas A, G, C y T. Después de encargar copias del ADN a un proveedor
por unos 75 euros, los investigadores introdujeron las moléculas en un máquina
de secuenciación, que leyó las letras genéticas, almacenándolas como dígitos
binarios, ceros y unos.
Erlich explica que el ataque aprovechó
un efecto de desbordamiento, cuando los datos que exceden un búfer de
almacenamiento pueden ser interpretados como un comando de computadora. En este
caso, el comando contactó con un servidor controlado por el equipo de Kohno,
desde el que tomaron el control de la computadora de su laboratorio que estaban
utilizando para analizar el archivo de ADN.
Las empresas que fabrican cadenas de
ADN sintético y las envían a científicos ya están en alerta ante posibles
bioterroristas. Los investigadores sugieren que en el futuro también podrían
tener que empezar a revisar secuencias de ADN por amenazas informáticas.
El equipo de la Universidad de
Washington también advierte de que los hackers podrían usar medios más
convencionales para elegir como blanco los datos genéticos de las personas,
precisamente porque cada vez aparecen más en internet (véase 10 Tecnologías
Emergentes 2015: Internet se llena de ADN) e incluso se accede a ellos a través
de tiendas de aplicaciones (ver 10 Tecnologías Emergentes 2016: Apps para el
ADN).
En algunos casos, los programas
científicos para organizar e interpretar los datos de ADN no se actualizan de
forma activa, y eso podría crear riesgos, en opinión del experto en
bioinformática del Instituto Sanger James Bonfield. Bonfield afirma ser el
autor del programa que los investigadores de la Universidad de Washington
apuntaron en su ataque y que este pequeño programa, "fqzcomp," fue
escrito como un experimento para una competición de compresión de archivos y
probablemente nunca haya sido usado.
Fuente: MIT Technology Review