El innovador del año o cómo combatir a los hackers de chips de radiofrecuencia

Kevin Fu, 33, University of Massachusetts, Amherst. Primera entrega de la selección de los 25 innovadores del año que realiza el Massachusetts Institute of Technology para presentarlos en su revista bimestral MIT Technology Review. Al contar Information Technology / Infotechnology.com con los derechos exclusivos de su versión en español, presentamos a continuación y en varias ediciones a los ganadores de la edición de 2009. 15 de Junio 2010
El innovador del año o cómo combatir a los hackers de chips de radiofrecuencia

Por Charles Graeber

¿Podría un marcapasos o cualquier otro dispositivo médico con tecnología wireless ser hackeado maliciosamente para amenazar la vida de un paciente? Para Kevin Fu esos sorprendentes escenarios no son extraños, aunque prefiere hablar de los detalles técnicos de su investigación. Sin embargo, este ingeniero en software y profesor asistente de ciencias de la computación proviene del mundo de la seguridad. Y allí la gente piensa diferente.  “Cualquiera que trabaje en seguridad siempre tiene un adversario en mente”, explica Fu, sentado detrás de su escritorio del segundo piso de la UMass Amherst, en el edificio de Ciencias de la Computación. “Esa es la mejor forma de diseñar sistemas de seguridad”, agrega el ingeniero.

Las amenazas que Fu investiga son aquellas relacionadas con la identificación por radiofrecuencia, o RFID. Esta tecnología es cada vez más común y se utiliza desde en “tags” para containers de carga y llaves electrónicas hasta en medios de pago automáticos o en las tarjetas de crédito de bancos, que no necesitan ser deslizadas por un lector. Estas soluciones permiten compartir información personal y financiera rápidamente y sin cables. Pero, como Fu se dio cuenta en 2006, no de forma segura.
  Luego de testear más de 20 tarjetas de crédito “inteligentes” (aquellas que no necesitan ser deslizadas) de MasterCard, Visa y American Express, Fu y sus colegas encontraron que podían extraer la información de los chips, como números de cuenta y fechas de vencimiento, incluso de tarjetas que se encontraban dentro de billeteras y sólo con pasar caminando al lado de su dueño con un lector casero. 

Los criminales recorren buzones, shoppings y aeropuertos en busca de información RFID que recolectan para robar identidades. Básicamente, atacan bolsillos que nunca llegan a tocar. Hacer de estos dispositivos una solución realmente segura requiere de un buen software de encriptación, la especialidad de Fu. Pero esa encriptación necesita de una fuente de energía constante, algo que los chips RFID —alimentados externamente y en forma pasiva— no poseen. “La inspiración era por programar”, dice Fu, pero aclara: “Nada funcionaría sin una computadora RFID para hacer el trabajo y para eso se necesitaba resolver los problemas de energía”. El ingeniero sonríe y agrega: “Hasta ahora ha sido un proyecto complementario de unos dos años”.

La única forma para solucionar el problema era inventar una nueva tecnología —un proyecto en el que Fu está trabajando con un equipo liderado por Wayne Burleson, profesor de Ingeniería Eléctrica e Informática—. Pero mientras lucha con este inconveniente, Fu comenzó a pensar, como sólo lo hace un hombre de seguridad, que si la información financiera es vulnerable, ¿qué queda para objetivos más oscuros, con consecuencias mucho más peligrosas?

Eso fue lo que lo llevó a idear por primera vez la máquina de ataques cardíacos. En su escritorio, Fu muestra una presentación con ejemplos como el del loco que puso Tylenol con cianuro en farmacias de Chicago en 1982 o el hacker que publicó animaciones que producían ataques en una web para epilépticos. “Podría sonar paranoico, pero desde el punto de vista de la seguridad se necesita basarse en el hecho de que esta gente existe”, afirma Fu. Y no hay mejor lugar para cazarlos que en el mundo de la medicina.

Entonces, el ingeniero comenzó a trabajar en la seguridad de los dispositivos médicos que utilizan comunicación por radiofrecuencia y conversó el tema con su colega Tadayoshi Kohno, profesor asistente de Ciencia e Ingeniería de la Universidad de Washington y experimentado investigador de las vulnerabilidades de las redes informáticas y de los dispositivos de votación. “Kevin es un investigador fantástico. Su trabajo se estudia en casi todos los cursos de seguridad informática y sus ideas son excepcionalmente profundas”, asegura Kohno. Los dos ingenieros llevaron sus dudas sobre los desfibriladores más allá del laboratorio de informática y las consultaron con el cardiólogo William Maisel, director del Medical Device Safety Institute del Beth Israel Deaconess Medical Center de Boston.

Le explicaron al staff de Maisel cómo piensa la gente del mundo de la seguridad y, a cambio, los médicos les dieron las bases de la cardiología, comenzando por el funcionamiento de los marcapasos y desfibriladores, dispositivos implantados en más de medio millón de personas en todo el mundo cada año. Básicamente, un marcapasos regula los latidos del corazón mediante pulsos eléctricos, mientras que los desfibriladores provocan un gran shock para “resetear” un corazón detenido. Juntos, forman un desfibrilador automático implantable (DAI), que está diseñado para detener los ataques en pacientes con problemas cardíacos. Pero Fu y Kohno se preguntaron: ¿podrían crear uno en lugar de detenerlo?

En su oficina de UMass, Fu saca una caja de zapatos con las piezas de un DAI: tienen el tamaño de un candado y están encerradas en un resistente estuche de acero quirúrgico, ahora abierto como por un abrelatas. Instintivamente, intento tocar el dispositivo, pero rápidamente Fu me aleja la caja. “No querrías tocar eso. La bobina descarga unos 700 voltios”, explica el ingeniero. Lo suficiente para detener un corazón. Fu señala el microchip y la antena que permiten que estos DAIs de última generación se conecten a Internet para que los doctores reprogramen el dispositivo sin necesidad de realizar una cirugía. Para los cardiólogos y los pacientes, la programación wireless es un regalo de Dios. Pero desde la perspectiva de Fu representa un nuevo desafío de seguridad. Y es por eso que se pregunta: ¿podría un hacker malintencionado interceptar la comunicación entre el DAI y la computadora de programación? ¿Y podrían comprender esa información y utilizarla para hacer daño?

“La mayoría de la gente que desarrolla este tipo de soluciones no piensa desde este punto de vista”, dice Fu, y aclara: “Pero los adversarios siempre están buscando oportunidades. No juegan tu juego, ellos crean su propio tablero”. Y para ganar la batalla de la seguridad los investigadores necesitan jugar en el terreno de los hackers.

Para eso, el equipo de Fu se puso a trabajar en una técnica para descifrar la comunicación de los desfibriladores. Utilizaron hardware comercial compuesto por una plataforma diseñada para permitir a investigadores y fanáticos interesados crear su propio software basado en radiofrecuencia. Esta plataforma fue la base para la creación de radios FM, receptores GPS, decodificadores de televisión digital y lectores de RFID. Entonces, lo único que se necesitaba era escribir el programa, tomar la antena de un viejo marcapasos, soldarla al radio y listo, se obtiene un transmisor. 

“Funcionó sorprendentemente bien”, dice Fu. Tras nueve meses de trabajo duro pudieron interceptar bits digitales de un DAI, pero no tenían idea qué significaban. Sus estudiantes volvieron al laboratorio para intentar descifrarlos. Utilizando análisis diferencial —básicamente cambiando una letra del nombre del paciente y luego escuchando cómo cambiaba el transmisor de radio—lograron construir un libro de códigos.

Ahora, su software casero puede escuchar y grabar comandos de programación de los DAIs. El dispositivo también puede retransmitir esas grabaciones como nuevos comandos a otros DAIs cercanos, lo que lo convierte en una solución peligrosa capaz de jugar a ser médico. 

Fu descubrió un grupo de comandos que podría mantener un DAI en un estado de funcionamiento constante, lo que agotaría las baterías del dispositivo. “Nuestros cálculos preliminares demostraron que una batería diseñada para durar años podría agotarse en sólo unas pocas semanas”, explica Fu, y agrega que “sólo eso ya representa un riesgo notable”. Pero lo que es incluso más llamativo es que el software desarrollado por el ingeniero es también capaz de reprogramar completamente el dispositivo en el cuerpo de un paciente. Los investigadores fueron capaces de instruir al sistema a no responder ante un evento cardíaco, como un ritmo anormal o incluso a un ataque. Y también encontraron la forma de que el desfibrilador inicie su secuencia de testeo, que descarga 700 voltios al corazón, en cualquier momento. 

A Fu no le gusta la idea de haber ideado uno de estos dispositivos y menos saber que efectivamente puede ser construido. A pesar de ser un académico que no se asusta por crear aplicaciones reales para lo que hace en el “laboratorio”, ese “mundo real” está al menos diez años en el futuro. Las ramificaciones de la radio-programación de los DAIs surgieron inmediatamente: el dispositivo podría ser reducido al tamaño de un iPhone y ser utilizado en un shopping o un subte, enviando comandos para generar ataques cardíacos en víctimas al azar. 

¿Una máquina de ataques cardíacos? Fu dice que sería inocente no reconocer que existe gente capaz de construir y utilizar ese tipo de soluciones para dañar a inocentes “sólo por diversión”. El problema de proteger el acceso a la programación remota de un DAI está directamente relacionado con la seguridad de la tecnología RFID. Encriptar las comunicaciones es la única forma de escudar a millones de personas de diferentes riesgos. No se necesita a Fu para obtener soluciones prácticas, pero al exponer los peligros de la seguridad él ha aportado una alerta valiosa, y que quizá también salve millones de vidas, para los fabricantes. El ingeniero es demasiado inteligente para entrar en la especulación sobre cómo la tecnología podría ser mal utilizada, excepto para decir que estaría muy sorprendido si ya no hubiera “gente trabajando en este problema”. En el mejor de los casos, nunca sabremos cuán adelantado fue, porque los fabricantes de dispositivos médicos eliminarán las amenazas incluso antes de que los hackers puedan aprovechar la debilidad. “Kevin es un especialista en informática que también tiene la habilidad de mirar los problemas como un médico y como un paciente”, dice Maisel. Y añade: “El trabajo que él está realizando relacionado con la seguridad y privacidad de los dispositivos médicos tiene un impacto potencial sobre millones de personas”.

¿Qué hay de escenarios más dramáticos? Imagine una agencia espía utilizando un circuito impreso para instalar una máquina de ataques cardíacos en un diario, entregado con el café de la mañana a un líder extranjero con un marcapasos. Kevin Fu —profesor, investigador, científico— cierra sus ojos. “Todo lo que puedo pensar sobre eso es que podría ser una muy buena película”, concluye entre risas



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar