El ADN puede ser utilizado para infectar con virus cibernéticos

El ácido Desoxirribonucleico o ADN es uno de los métodos más viejos para almacenar información. Cada humano y cada célula viva contiene este material biológico de alta tecnología que almacena toda clase de información sobre la especie. Por ejemplo, determina el color de ojos de una persona, el tamaño de las plumas de un pájaro y similares. Éste se compone de nucleidos diferentes, que proporcionan combinaciones diferentes para instrucciones genéticas, que determinan rasgos diferentes.

Podríamos comparar el ADN con el código máquina o binario, donde las diferentes combinaciones de «1» y «0» definen la ejecución de un programa de ordenador.

El ADN como almacén de información

Ya en 2012, la Universidad de Harvard realizó un estudio por el cual era posible codificar un libro completo en una cadena de ADN. Además, en 2013 los investigadores del Instituto Europeo de Bioinformática fueron capaces de incrustar en una cadena sonetos completos producidos por el famoso Shakespeare, junto al conocido discurso de Martin Luther King «I have a dream».

Finalmente, en 2016 investigadores conjuntos Microsoft y la Universidad de Washington colaboraron para almacenar un vídeo de música en el ADN.

Puede parecer extraño pero así es y, aunque no va a sustituir a los métodos tradicionales de almacenamiento, este componente puede tener su mercado para ciertos usos y casos. El caso es que, como siempre en tecnología, habrá personas que intenten vulnerar un sistema y jugar con sus datos para fines dudosos.

En esto andaba pensando el investigador Tadayoshi Kohno, de la Universidad de Washington, cuando su equipo realizó un experimento para ver si eran capaces de almacenar un virus malicioso en el ADN. Dicho virus no estaría diseñado para afectar a humanos, sino a sistemas informáticos.

Aunque este ácido natural no se usa en combinación directa con sistemas informáticos (sino con elementos biológicos) es cierto que en muchos casos debe ser tratado con ordenadores para decodificar la información del mismo, pasando esta a un formato entendible para el ser humano. Aquí es donde se centraría el ataque. A continuación un extracto del estudio, recogido por The Registrer:

[…]Sintetizamos las cadenas de ADN que, tras su secuenciación y post-procesado, generaron un archivo. Cuando dicho archivo se usaba como entrada para un programa vulnerable, este archivo abriría un socket de comunicación para el control remoto del equipo.

Lanzando un ciberataque con ADN como portador

Reconocen que han recreado un entorno ideal para probar su teoría, cambiando el código fuente del compresor de ADN fqzcomp, para incluir un búfer fijo de datos que podría ser vulnerable a buffer overflow o ataque de desbordamiento de búfer.

El siguiente paso sería codificar dicho búfer como «ADN sintético». Codificar la información de tal forma (para lo cual se usan solo 4 nucleidos con restricciones físicas sobre las combinaciones) resulta complicado y llevó bastantes intentos, pero finalmente el equipo fue capaz de crear una fórmula viable, que enviaron a Integrated DNA Technologies para ser sintetizada.

Una vez dicho ADN fue recibido por el servicio sintetizador, el equipo tenía un programa potencialmente vulnerable al exploit sobre el que realizar la prueba, así que comenzaron los ataques. Ataques que, ficho sea de paso, fueron exitosos en un 37% de casos, usando el consabido fqzcomp modificado. El sistema era vulnerable entonces a acceso remoto por parte de los técnicos.

Viabilidad de estos ataques

¿Es viable hacer esto a gran escala? Depende de diversos factores. Los ciberdelincuentes podrían recrear los pasos dados por los investigadores, llevados a cabo sobre secuenciación del ADN. O bien podrían encontrar vulnerabilidades sobre el software actualmente en uso para atacarlas, siendo esta una aproximación más tradicional.

Los atacantes tendrían además que apañárselas para que el objetivo recibiera dicha secuencia de ADN por algún medio, o quizá encontrar una vulnerabilidad que pudiera ser explotada por muestras conocidas, evitando la necesidad de modificar la secuencia de ADN.

Dicho de otra forma: estos ataques son, de momento, difíciles por su gran sofisticación y además es difícil obtener éxito. Requeriría una gran financiación y compromiso por parte de los ciber-atacantes para llevarlo a cabo de forma exitosa. Pero nunca digas nunca…para eso están los gobiernos. Y además no solo estamos ante un potencial riesgo sobre los dispositivos electrónicos sino ante la propia secuencia genética.

Palabras finales

Dejando a un lado que sea más sencillo o complicado, más caro o barato, lo cierto es que supone un hito en la biotecnología y ciberseguridad lo que hoy tenemos entre manos. Como poco, lo considero de interés para vuestra lectura y es importante no quitarle el ojo de cara al futuro, ¿no os parece?