Desde niño me ha intrigado tanto la Bioingeniería que se ha convertido en la especialización de mi curso de estudios en Ingeniería Electrónica. Después, mi destino fue lidiar con la informática y la seguridad y, aunque nunca he abandonado el amor por la combinación de la ingeniería y todo lo que gira en torno a la vida, nunca pensé que hoy nos hubiéramos enfrentado a un nuevo fenómeno, el conocido como “Cyber Biohacking”.
Quién trabaja en el mundo de la seguridad cibernética seguramente habrá oído hablar de exploits, es decir, una parte del código ejecutable desarrollado para crear, en un software, un comportamiento inesperado y destinado, por ejemplo, a obtener privilegios de administrador en una computadora.
Hace solo unos años, sin embargo, se planteó la hipótesis de que estos explotar podrían haberse instalado dentro de una molécula genética. Entiendo que pueda parecer absurdo pero les aseguro que no lo es.
Entonces, ¿cuál es el Biohackeo, ¿verdaderamente?
il Biohackeo es ese sector de la ciencia que combina la biología, el estudio del cuerpo humano y la piratería: “El conjunto de métodos, técnicas y operaciones - lee en Wikipedia - destinado a conocer, acceder y modificar un sistema informático de hardware o software ".
Es un concepto amplio e incorpora muchas actividades: desde modificaciones del ADN hasta experimentos científicos para mejorar el rendimiento físico y cerebral del ser humano.
En resumen, podemos decir que el Biohackeo es ese campo de la ciencia que combina la biología y la tecnología.
Ante un fenómeno similar, se podrían hacer muchas consideraciones y, probablemente, se necesitaría mucho más que un artículo. Por tanto, me gustaría centrarme en tres elementos que creo que pueden ser clave:
- Ética de la tecnología
- Seguridad de la cadena de suministro
- Mitigación de riesgos
Comencemos inmediatamente con elÉtica de la tecnología. En la era digital, la palabra seguridad se ha vuelto central. Más allá del significado que ha adquirido en los sectores industrial y de servicios y en un sistema basado en datos, el concepto se ha expandido hasta el punto de alcanzar nuevas dimensiones. La relación entre las máquinas y el hombre es cada vez mayor y alcanza niveles cada vez más avanzados y articulados.
Por un lado, el sistema se beneficia, en ocasiones, impensable y, tal vez, inaccesible para el hombre (solo piense en la potencia de cómputo) y por otro, casi como contraparte, da lugar a habilidades y actividades que son riesgosas para el ser humano. seres y desestabilizadores para los sistemas. Lo digital es disruptivo por definición; lo que significa que es necesario cuestionar, estudiar y diseñar para desarrollar sistemas de seguridad que tengan en cuenta los nuevos escenarios a explorar.
De todo esto se sigue que el la seguridad cibernética es la infraestructura a la que se confía la protección, en muchos aspectos la propia definición, de la ética digital.
En este sentido, me caso con las palabras de Marco Ramilli, experto en la seguridad cibernética y Fundador y CEO de Yoroi, según el cual “Es natural considerar la tecnología directamente asociada con la ética si hablamos de tecnología como la ciencia de estudiar 'vivir bien'. Por otro lado, no es posible esperar un comportamiento ético de la tecnología precisamente porque no tiene la capacidad de crearse a sí misma ni tiene la percepción de los límites impuestos por la cultura y el 'buen vivir'. Incluso el mejor sistema de aprendizaje profundo (inteligencia artificial), antes de que pueda iniciarse, necesita una fase de entrenamiento inicial que influya radicalmente en sus decisiones. Precisamente por eso no es posible considerar la tecnología como éticamente neutral ya que depende en gran medida de su entrenador. La tecnología aumenta radicalmente la velocidad de la información, así como su factor de escala, y no es territorial, por lo tanto, carece de cultura. Estos puntos representan un cambio en el esquema que desfigura su originalidad, incidiendo en problemas éticos a gran escala ".
Un ejemplo sobre todo: la capacidad de un pequeño número de organizaciones de poseer información específica sobre cada uno de nosotros y explotarla con fines socioeconómicos.
Por lo tanto, es fundamental tener una idea clara de qué y quién debe supervisar y cómo se debe proteger este privilegio.
Todo esto se traduce en darle a la ciberseguridad un nuevo significado, en cierto modo original e incluso un poco disruptivo: la ciberseguridad es la columna vertebral de la ética digital y ya no es justa y solo un arma de defensa o, en una forma muy triste, de ataque.
Si pensamos que hoy las tecnologías están en la base de la digitalización de sistemas complejos, infraestructuras críticas y servicios esenciales y que pueden sufrir ciberataques modificando su comportamiento, es evidente cómo la ciberseguridad está ligada a cuestiones éticas de una forma extremadamente profunda. En consecuencia, no podemos dejar de considerarlo un elemento central.
Creo que uno de los problemas éticos inherentes a la ciberseguridad más conocidos es el de la privacidad. Obtener información personal puede permitir que un atacante reemplace digitalmente a la víctima, iniciando transacciones falsas y manipulando conversaciones. Es un fenómeno del que somos testigos todos los días gracias al robo de identidad. Además, este problema ético podría permitir al atacante extorsionar y chantajear a la víctima.
Más allá de las palabras y declaraciones de carácter público, no creo que aún exista una conciencia profunda de esta centralidad ética y es precisamente sobre esto que debemos trabajar seriamente tanto en el ámbito público como en el privado.
El "buen vivir" de hoy ya no es solo parecido a la relación física, sino que depende en gran medida de la digital. La ciberseguridad es un elemento fundamental para garantizarlo. Para ello es necesario incluir esta disciplina en un nuevo marco ético que trascienda el espacio y la cultura y que sea, al mismo tiempo, respetuoso con el ser humano partiendo, como se mencionó, de la conciencia de que, por el contrario, la tecnología no puede Sea éticamente neutral.
Seguridad de la cadena de suministro. Se sabe que los científicos de todo el mundo continúan trabajando en el desarrollo de vacunas para combatir la pandemia de COVID-19 dadas las innumerables variantes que se han desarrollado en el último período. Además de intentar robar datos de investigación, los ciberdelincuentes podrían desarrollar ataques dirigidos para desencadenar una guerra biológica y el ADN podría convertirse en la nueva arma de los piratas informáticos del futuro.
Una publicación reciente de la revista Nature retoma un estudio realizado por un grupo de investigadores del Universidad Ben-Gurion del Negev, en Israel, proyectando sombras sobre el futuro de Cyber Biohacking. Al forzar los procedimientos de síntesis de ADN débil, de hecho se pueden lograr resultados sorprendentes, con alteraciones del código genético que eludirían los controles automáticos, generando toxinas y nuevos virus.
Las universidades y los centros de investigación encargan a empresas especializadas la creación, con fines científicos, de secuencias específicas de ADN necesarias para la experimentación y los estudios. La producción de secuencias de ARN o ADN en todo el mundo se confía en gran medida a sintetizadores de ADN, capaces de sintetizar miles de millones de nucleótidos (ADN) por una facturación de varios cientos de millones de dólares. También en este campo, el mundo digital se está consolidando como un elemento fundamental del proceso.
El crecimiento exponencial de los pedidos digitales a las empresas que operan y gestionan estos "sintetizadores" ha planteado muchas dudas sobre la posibilidad de ciberataques en un nicho de mercado tan nuevo y delicado. De hecho, los piratas informáticos podrían entrar en la cadena de "ordenación" y "producción" de nucleótidos (ADN) atacando los puntos débiles de los sistemas informáticos de los operadores del sector. Los ataques podrían referirse a cambios en los "pedidos", la "mezcla" o el proceso de producción gracias a la inclusión de secuencias incorrectas y malignas, capaces de evadir los controles automáticos de seguridad de las empresas que operan en el campo de la síntesis de ADN.
En este punto, tratemos de imaginar un escenario realista en el que hay tres protagonistas: Alice, que trabaja en la facultad de biología de una reconocida universidad, Silvio, quien es el gerente de control de calidad de una empresa que sintetiza las secuencias cortas de DNA y, finalmente, Eva, una hacker criminal lista para poner a prueba sus habilidades en un entorno extremadamente moderno e hiperconectado.
Alice encarga secuencias de ADN a Silvio, a través de un procedimiento consolidado que no tiene niveles particulares de seguridad, considerando también el hecho de que existe una relación de confianza entre Alice y Silvio quienes llevan tiempo trabajando juntos. Además, en este contexto, el software utilizado para la edición genética y los archivos que representan digitalmente la secuencia no cuentan, a su vez, con estándares de seguridad como para defenderse de los ataques de Eva. La consideración general es que, dado que se trata de un campo extremadamente nuevo, nadie cree que sea de interés para los ciberdelincuentes. Pensado, por desgracia, muy extendido en todos los sectores.
Para simplificar los procedimientos, acelerar las operaciones y aumentar la productividad, Alice prefiere utilizar el procedimiento estándar, probablemente, como se mencionó, sin ser consciente de los riesgos de TI. Eva, sin embargo, logra atacar el sistema informático de la universidad, gracias a un malware capaz de modificar la secuencia genética ordenada. Usando una técnica de "ofuscación de código" cibernético, el malware es capaz de enmascarar la parte manipulada del ADN, de tal manera que la compañía de Silvio no puede identificarla como "diferente" del resto de la secuencia.
El malware puede incluso inutilizar cualquier control humano. Estos controles, que actualmente se aplican en las estructuras de síntesis sólo cuando es necesario, apenas logran resaltar el problema, especialmente en el desafortunado caso en el que el atacante fue tan bueno como para crear un malware capaz de ocultar sus rastros.
Por lo tanto, los controles automáticos y manuales dan un resultado positivo y los pedidos se procesan y se envían a la facultad de la universidad donde trabaja Alice. En este punto, todo es normal y Alice o sus colegas podrían "descomprimir" el código genético recibido, con el procedimiento específico llamado CRISPR / Cas91. Al hacerlo, Alice "libera", de forma totalmente inconsciente, una secuencia maligna, potencialmente portadora de toxinas o virus o de un nuevo Covid-19.
Este tipo de atentados dista mucho de estar lejos de la realidad, como confirma el estudio desarrollado por el equipo de investigación de la Universidad israelí, dirigido por Rami Puzis. En la prueba, de hecho, se "ofuscó" parte del código ocultando un péptido dañino y se suministró la nueva secuencia a una de las principales empresas del sector.
¿Quieres saber cuál fue el resultado? Los procedimientos internos automáticos no detectaron ningún problema, enviando el pedido a producción. Por supuesto que elConsorcio Internacional de Síntesis Genética, IGSC, el organismo líder de la industria para la creación de estándares de seguridad comunes, fue notificado inmediatamente del incidente y la orden fue cancelada por razones de bioseguridad.
Está claro que todo esto pone de relieve aún con más fuerza cómo no solo los sistemas de ciberseguridad son fundamentales en todos los sectores y, por tanto, más aún en el científico, sino también lo importante que es la seguridad de los procesos, especialmente si se trata de una cadena de suministro.
“Un escenario de ataque de este tipo - escribe Pizis - subraya la necesidad de fortalecer la cadena de suministro de ADN sintético a través de sistemas de protección contra ataques ciberbiológicos. Proponemos un algoritmo de cribado reforzado que tiene en cuenta la modificación del genoma in vivo ”.
Es deseable que los marcos de seguridad adecuados tengan que garantizar una seguridad tanto funcional como operativa capaz de cubrir tecnologías y procesos de manera preventiva, proactiva y predictiva.
Mitigación de riesgos. En muchas ocasiones hemos tenido la oportunidad de hablar sobre el ciberriesgo y lo hemos debatido definiéndolo como la amenaza real que los particulares, empresas, estados y organismos internacionales están llamados a afrontar en la nueva era dominada por la industria 4.0.
La necesidad de crear nuevos modelos de negocio para incrementar la productividad de las industrias ha llevado a una tendencia, a menudo imprudente, hacia la automatización, la informatización, la virtualización, la nube así como hacia todas las funcionalidades presentes en el móvil. Es el conjunto de estas características el que define la industria 4.0 con la que están llamados a relacionarse los distintos componentes sociales y sobre la que actúa el riesgo de ciberataques.
En este escenario, pensar que la ciberseguridad solo significa Tecnología de la Información te hace sonreír y saber que el alcance es mucho más amplio, ayuda a entender los riesgos y, con suerte, a prevenirlos.
Como ocurre con muchas enfermedades, el riesgo cibernético se amplifica y, de hecho, podemos decir que se "alimenta" de otros factores digitales que están íntimamente ligados entre sí. Podríamos, con un poco de imaginación, pero quizás no demasiada, rastrear el origen de todo en la ley de Moore, que proporciona el combustible que ha permitido que toda la industria digital se desarrolle a una velocidad importante. No cabe duda de que el crecimiento exponencial de la potencia de los microprocesadores y, en consecuencia, de la capacidad de cálculo que ofrece la ley de Moore, combinado con el nivel de miniaturización que se ha logrado en los procesos de producción de componentes electrónicos, impensable hasta hace unos años. , ha permitido la explosión de la era de las redes de telecomunicaciones y la tecnología de la información en general.
Todo esto ha permitido el inicio de la era de Internet como plataforma de distribución de todas las innovaciones digitales.
El crecimiento de la población humana mundial es de aproximadamente 75 millones al año, o 1,1% anual, con un aumento de la población mundial de 2017 a 2020, de 7,7 a 7,8 mil millones de personas. En el mismo período, la "población" de dispositivos IOT conectados a la red, por otro lado, pasó de 8,4 mil millones a 20,4 mil millones con un aumento de 12 mil millones de objetos, o + 242%, que, creo, no ha necesitado más palabras para describir la medida de la velocidad a la que viaja el mundo digital.
La velocidad extrema es, por tanto, la principal característica que caracteriza a los ecosistemas digitales y que incide significativamente en el riesgo cibernético. Todo se consume a toda prisa y, como resultado, el ciclo de vida de las tecnologías se reduce drásticamente. Si pensamos, por ejemplo, en una industria intensiva en capital como la de las tecnologías de radio móvil que debe absorber altos costos para la concesión de frecuencias y para la elaboración de redes, podemos observar que en menos de 40 años se han logrado 5 tecnologías diferentes. se sucedieron: TACS comienza a principios de los 80, 2G en 1991, 3G después de 10 años, 4G después de 9 años y 5G después de 8 años y la velocidad de descarga pasa de 384 kbps del primer 3G, a 100 Mbps de 4G, a 10. Gbps de 5G. En este imparable proceso de crecimiento, hay dos fechas que no podemos olvidar: la disponibilidad extendida y de bajo costo de capacidad de ancho de banda en las redes de telecomunicaciones que se remonta al año 2000 y el nacimiento de las OTT, que se puede fechar entre 2007 y 2008. Después de 2008, hemos sido testigos del rápido crecimiento en el número de dispositivos conectados constantemente, una economía que depende cada vez más de los algoritmos de inteligencia artificial, el crecimiento del poder de las redes sociales y el riesgo de noticias falsas, el crecimiento de la explotación de personal contenido debido al movimiento constante antes de la compensación entre privacidad y servicio.
En todo este revuelo, lamentablemente, la sensibilidad por la seguridad de la información no ha crecido con la misma velocidad y hoy no solo pagamos las consecuencias sino que corremos el riesgo de poner en riesgo también áreas innovadoras, como la biología y la medicina, que, como ninguna otra, se refieren a la vida humana.
Por ello, es cada vez más urgente y necesario contar con una hoja de ruta sólida de ciberseguridad que se enmarque en un "call to action" global, dirigido a instituciones, empresas e industria con el objetivo común de garantizar un compromiso de aceptación del desafío del ciberriesgo y, con suerte, ganarlo.
"Una comunidad acepta los desafíos que enfrenta precisamente porque no son simples, porque nos brindan la oportunidad de aprovechar al máximo nuestras habilidades y nuestro compromiso ".
JFK
1 El método crispr-cas9, que permite modificar los ácidos nucleicos que componen el genoma de todos los organismos vivos, le valió a Emmanuelle Charpentier y Jennifer Doudna el Premio Nobel de Química por su capacidad para "reescribir el código de la vida".
Enlaces de interés
CRISPR-Cas9: cómo funciona la revolución genética y sus aplicaciones (agendadigitale.eu)
Por qué Biohacking es la última gran tendencia de inicio (emprendedor.com)
Mayor ciberbioseguridad para la síntesis de ADN | Biotecnología de la naturaleza
