Como si se tratara de uno de eso trucos de ilusionista de feria, si le das el teléfono a Seth Wahle puede robarte tus fotos, claves y cualquier información simplemente con tocarel equipo.
Wahle era soldado de Estados Unidos y ahora trabaja como ingeniero en una compañía llamada APA Wirless.
Lo que más llama la atención es descubrir que es miembro de esa creciente comunidad de portadores de chips capaces de sustraer información, conocidos como biohackers.
Los nuevos biohackers
Los biohackers son personas a las que les gusta jugar con los límites del cuerpo. En el caso de Whale, el objetivo es explorar el futuro de la ciberseguridad.
Wahle pasó mucho tiempo investigando los diferentes tipos de chips RFID disponibles.
Los RFID (radio frequency identification o identificación por radiofrecuencia) son pequeños dispositivos que pueden almacenar un volumen reducido de información y comunicarla a otros dispositivos que se encuentren cerca.
El ingeniero le pagó luego a un artista aficionado a los tatuajes para que le inyectara el chip en su mano, en el espacio entre el pulgar y el índice.
“Por un momento el dolor llegó a ser realmente insoportable, pero cesó tan pronto como sacó la aguja”, cuenta Wahle.
Dúo de hackers
Todo comenzó con una conversación casual en una pizzería con Rod Soto,investigador en temas de seguridad y organizador de un evento llamado Hackmiami, en Florida.
“Seth estaba ahí comiendo pizza y yo me le aproximé en modo casual diciendo algo como ‘hola, tu pareces ser de esas personas a las que les gustan las computadoras’”, relató Soto. “¡Y resultó ser que Rod tenía un chip metido en su mano!”.
Soto, que se dedica a evaluar software y hardware para hackear, quedó intrigado con Wahle y lo animó a dar una conferencia en un evento sobre ciberseguridad llamado Hackmiami el año pasado.
Wahle aceptó y dio una charla sobre cómo usar un chip para evitar que una pistola se dispare por accidente. Sólo si el chip está en la mano el gatillo puede accionarse.
“Luego del evento tuvimos una reunión para explorar múltiples ideas sobre qué usos darle al implante”, contó Soto.
Entonces decidieron comprobar si podían colocar un software maligno en el teléfono celular de alguien, con tan solo colocarlo en la palma de la mano de Wahle.
De ahí en adelante todo fue fácil. Casi demasiado fácil. “Fue una sorpresa ver que funcionara tan bien como lo hizo”, confiesa Wahle.
Les tomó unos pocos meses diseñar el dispositivo y funcionó en el primer intento.
Cómo funciona el chip
El proceso de hackear el teléfono de alguien con el implante funciona de la siguiente manera: el chip RFID tiene una antena para comunicaciones a corta distancia (Near Field Communications o NFC por sus siglas en inglés).
Esa antena genera una frecuencia de radio que permite la comunicación con equipos como teléfonos inteligentes, que también cuentan con antenas NFC.
De modo que cuando el celular está en la palma de la mano, el chip envía una señal al teléfono y se abre una ventana de diálogo pidiéndole al usuario que abra un vínculo.
Si el usuario lo abre, el vínculo instala un archivo maligno que conecta el teléfono a un servidor remoto donde alguien puede tener acceso a la información.
“Una vez que tengo esa respuesta del usuario, ya ese teléfono es mío”, dijo Soto.
Con el teléfono en la mano de Wahle y Soto en la computadora remota, en minutos se obtiene cualquier información.
En la demostración, el vínculo maligno aparece muy bien disfrazado, por lo que cualquier usuario podría aceptar la invitación. Sin embargo, Wahle y Soto advierten que con un poco más de diseño, la ventana de dialogo con el vínculo puede llegar a parecerse a cualquier actualización de un sistema o una notificación de Candy Crush.
Por otra parte, tampoco hay muchos obstáculos para saltar este paso y llegar directamente a la información del teléfono sin tener que hacerle click a un vínculo.
Comunidades de hackers
En realidad era cuestión de tiempo para se relacionaran la comunidad de biohackers y la comunidad de investigadores sobre software y hardware para hackear.
Sin embargo, Wahle y Soto aseguran que la relación entre ambos grupos es nueva en Miami.
“Son dos mundos completamente diferentes”, señala Wahle.
Por su experiencia, estas dos comunidades tienen diferentes culturas e ideas. “Los biohackers llegan con ideas descabelladas y honestamente rara vez consiguen concretarlas, porque la mayoría de ellos no tiene la aptitud técnica para llevarlas a cabo. La mayoría de sus sugerencias son tremendamente peligrosas”, explica Wahle.
“Mientras que en la comunidad de hackers hay mucha gente talentosa, algunas de las personas más inteligentes que he conocido y pueden desarrollar cosas realmente locas y sorprendentes”, apunta Wahle.
Éste puede ser solo el principio del uso de implantes para hackear. Los celulares no son los únicos dispositivos que utilizan NFC para comunicarse con otros aparatos. Estas antenas son piezas fundamentales de los sistemas de pago con tarjetas de crédito, medios de pago como Apple Pay y Google Wallet, llaves de autos e incluso equipos médicos.
Hackear una comunicación vía NFC con un chip que sólo necesita estar cerca de la persona que tiene el equipo, o su cartera, o la puerta o el monitor para medir la presión de la sangre, puede abrir todo tipo de posibilidades a actores malignos.
¿Es un riesgo verdadero?
Las posibilidades de que te tropieces con alguien que tiene un chip RFID insertado en la mano todavía son muy bajas.
Implantarse un dispositivo en el cuerpo no es algo común y los biohackers todavía no andan deambulando a tu alrededor.
Por otra parte, la demostración de Soto y Wahle no violó ninguna ley. Ellos utilizaron el teléfono de Wahle y él sabía lo que iba a pasar. No obstante, para Andrea Matwyshyn, profesora de derecho en el Centro para Políticas de Información Tecnológica de la Universidad de Princeton, en Estados Unidos, las cosas pueden ser más complicadas si la persona no tiene idea que esto puede ocurrirle.
“El enfoque de la ley – sobre Abuso y Fraude Computarizado en EE.UU.- se basa en la noción de sobrepasar el acceso autorizado. ¿Tuvo la persona que ingresó al sistema el consentimiento del dueño de este sistema para obtener la información? Si la repuesta es no, entonces hubo una violación de la ley”, explica Matwyshyn.
Para Soto y Wahle lo importante exponer las vulnerabilidades de los dispositivos que las personas usan a diario.
“El mensaje que quiero transmitir no es: ‘oigan, puedo meterme un chip NFC en mi mano y controlar un teléfono Android’, aclara Wahle. “El mensaje es que he hecho esto con la tecnología disponible y en la medida que la tecnología sigue evolucionando, este tipo de dispositivos estará al alcance de todos. La idea detrás de lo que hacemos es vulnerar algo para mostrarle a la gente que puede ser vulnerado”, resalta Wahle.
Soto coincide con ese punto. “La razón principal por la que hacemos esto es que los usuarios puedan evitar que algo así les ocurra”.