En más de una ocasión hemos dedicado algunos minutos a hablar de proyectos de investigación relacionados con el procesamiento de las ondas cerebrales para controlar sistemas (vehículos, sillas de ruedas, etc), desarrollar nuevos sistemas de comunicación o detectar el cansancio de un conductor; ejemplos que nos muestran que podemos aprovechar la actividad eléctrica del cerebro como entrada a distintos sistemas y usar estas señales para controlarlos. Sin embargo, una investigación de las Universidades de Berkeley, Oxford y Ginebra parece mostrar un inquietante lado oscuro para este tipo de interfaces porque, tras múltiples pruebas, el equipo ha sido capaz de averiguar el PIN de tarjetas de crédito de los sujetos participantes, datos personales como la fecha de nacimiento o, incluso, áreas geográficas en las que vivían.

eeg

¿Y cómo pudieron averiguar toda esta información? La verdad es que el experimento es bastante curioso y, desde luego, pone de manifiesto que quizás los dispositivos basados en la actividad eléctrica del cerebro requieran un especial énfasis en la seguridad (o puede que sea demasiado pronto para usarlos, quién sabe).

El equipo de investigación sometió a un grupo de 30 personas a un experimento en el que debían llevar un dispositivo capaz de detectar las señales eléctricas del cerebro (y alguno que otro hay ya a la venta con el que, incluso, se puede intentar controlar el personaje de algún juego para dispositivos móviles); mientras llevaban puesto el dispositivo, el equipo les mostraba en una pantalla imágenes de cajeros automáticos, tarjetas de crédito, mapas, gente e, incluso, números aleatorios. ¿El resultado?

Logramos averiguar el primer dígito del PIN de la tarjeta de crédito en el 20% de los casos mostrando imágenes de las tarjetas de crédito, la gente y el cajero automático. La localización se adivinó en el 30% de los casos, el mes de nacimiento en el 60% y la entidad bancaria de la que eran clientes (usando fotos de los cajeros automáticos) en casi el 30% de los casos

¿Y cómo fue posible averiguar el PIN de la tarjeta de crédito de alguien? ¿Cómo es posible averiguar en qué está pensando? Básicamente, el equipo analizaba la respuesta del cerebro de los sujetos a los estímulos que les presentaban (la sucesión de imágenes) y, claro está, el estímulo estaba dirigido a hacerles pensar en aspectos muy concretos. En el caso del PIN de la tarjeta de crédito, los investigadores mostraban (de manera pseudoaleatoria) una secuencia de 10 números (del 0 al 9) que se repetía 16 veces en un intervalo de 90 segundos y, en el 20% de los casos, se detectaron variaciones de señal cuando veían por pantalla el número de su PIN.

El riesgo aparece cuando estás pensando en un evento concreto y un atacante aprovecha la ocasión para obtener algún tipo de información que la víctima tiene almacenada en su mente

La investigación quiere dar un toque de atención ahora que este tipo de dispositivos se están haciendo tan populares porque, en el caso de los dispositivos comerciales, las aplicaciones compatibles tienen acceso completo a la señal captada por el encefalograma y, por tanto, podrían tener acceso a quizás más información de la que debieran. De hecho, para demostrar esta posibilidad, el equipo desarrolló una "aplicación maliciosa" que, durante el proceso de calibración, era capaz de intentar obtener información del usuario presentando unas aparentemente insignificantes pruebas de ajuste.

Un estudio bastante curioso que, desde luego, debería servir de base para mejorar este tipo de sistemas ahora que son cada vez más habituales los proyectos que utilizan este tipo de tecnologías.