Uso de ondas cerebrales para adivinar contraseñas

El Epoc+ es un auricular de detección de ondas cerebrales de $800 que se comercializa como capaz de detectar estados emocionales como la frustración o la emoción, y le permite controlar robots con sus pensamientos.





nitesh saxena , profesor asociado de la Universidad de Alabama en Birmingham, ha demostrado que también puede ayudar al software a adivinar PIN y contraseñas al monitorear las ondas cerebrales de una persona. El estudio se une a un pequeño pero creciente cuerpo de evidencia sobre la seguridad de la interfaz del cerebro que, según los investigadores, muestra que incluso los auriculares limitados disponibles en la actualidad necesitan una mejor seguridad.

Diría que es un riesgo para los dispositivos de hoy, y con dispositivos más avanzados se podría hacer mucho más en el futuro, dice Saxena, sobre las perspectivas de robo de datos privados con una interfaz cerebral. La gente necesita pensar en los modelos de privacidad y seguridad de estas interfaces. Facebook y una nueva empresa emergente de Elon Musk se encuentran entre los que trabajan en interfaces cerebrales más avanzadas que conllevarían mayores riesgos de seguridad (ver Con Neuralink, Elon Musk Promises Human-to-Human Telepathy. Don't Believe It).

El Epoc+, fabricado por Emotiv, es uno de los pocos dispositivos en el mercado que utilizan un auricular con electrodos para detectar cambios de voltaje en la capa externa del cerebro, un enfoque conocido como electroencefalografía o EEG. Los dispositivos se utilizan en investigación y medicina para tareas como dirigir robots y diagnosticar conmociones cerebrales, y se venden a los consumidores como controladores de juegos (consulte Controlar la realidad virtual con la mente).



Las señales de EEG no se pueden usar simplemente para leer lo que una persona está pensando o haciendo, y el control que pueden proporcionar como interfaces es relativamente tosco. Pero los experimentos de la Universidad de Alabama se suman a la evidencia de que aún pueden revelar información privada.

El nuevo estudio probó la idea de que una persona que detuvo una sesión de juego e inició sesión en una cuenta bancaria mientras aún usaba un auricular EEG podría estar en riesgo de que un software malicioso husmee en las credenciales personales a través de ondas cerebrales.

Las personas ingresaron por primera vez PIN y contraseñas aleatorias mientras usaban los auriculares, lo que permitió que el software aprendiera el vínculo entre su escritura y las ondas cerebrales. Saxena dice que este paso de entrenamiento podría lograrse en el mundo real mediante un juego que pidiera a los usuarios que ingresaran texto o códigos como parte del juego, por ejemplo.



Después de observar a una persona ingresar alrededor de 200 caracteres, los algoritmos podrían hacer conjeturas informadas sobre los nuevos caracteres que una persona ingresó simplemente observando los datos del EEG. Eso podría permitir que un juego malicioso, digamos, husmee en alguien que está tomando un descanso para navegar en la Web. Está lejos de ser perfecto, pero reduce las probabilidades de adivinar un PIN numérico de cuatro dígitos de una entre 10 000 a una entre 20, y aumenta la probabilidad de adivinar una contraseña de seis letras alrededor de 500 000 veces, a aproximadamente una entre 500.

Cuando se le preguntó sobre el estudio, un portavoz de Emotiv dijo que tal ataque no sería práctico. Los usuarios sospecharían si un programa intentara guiarlos a través del ejercicio de capacitación necesario para que el software pueda adivinar los caracteres que ingresan, y Emotiv aprueba todo el software que se conecta a sus auriculares, dijo el vocero. Pero Alejandro Hernández, un investigador de seguridad de IOActive, que ha revisado la seguridad del hardware EEG y el software relacionado, considera que el ataque de Alabama es 100 por ciento factible. Su investigación indicó que una gran cantidad de software EEG en uso hoy en día no está bien diseñado y es fácilmente pirateable.

Investigadores de la Universidad de Washington han demostrado otra forma de extraer información privada utilizando un auricular EEG. Crearon juegos que mostraban imágenes subliminales, como logotipos de bancos, y notaban cuándo las ondas cerebrales de una persona registraban el reconocimiento. Eso podría proporcionar datos valiosos para campañas o anuncios de phishing, o incluso obtener información sobre la orientación sexual de una persona, dice Tamara Bonaci , un investigador que participó en el trabajo.



Leer siguiente La startup Neurable cree que su interfaz cerebro-computadora será lo suficientemente rápida y precisa para jugar juegos en realidad virtual.

El grupo de Washington dice que una de las motivaciones de su investigación es la forma en que las empresas han recopilado agresivamente datos amplios sobre el uso de la Web y de los dispositivos móviles por parte de las personas, por ejemplo, para orientar los anuncios.

Incluso sin acceso a datos cerebrales, las empresas ya buscan pistas emocionales en el texto para medir los estados emocionales de las personas y documentos filtrados a la australiano periódico muestran que Facebook ha considerado dirigir los anuncios a los adolescentes en función de sus emociones. El mes pasado, un abogado y especialista en ética de la Universidad de Zúrich pidió el desarrollo de nuevos marcos legales en torno a la neurotecnología, incluido el derecho a la privacidad mental.

Bonaci dice que las empresas que trabajan en auriculares EEG deberían abordar estos problemas ahora, porque lo que está en juego aumenta a medida que los avances en el aprendizaje automático ayudan a los investigadores a extraer más y más de los datos de EEG. Las mejoras han sido tremendas en los últimos años, y espero que continúen, dice ella.



esconder