Seguridad de Internet: por qué sus pensamientos internos pueden convertirse en su próxima contraseña

Su cerebro es una fuente inagotable de contraseñas seguras, pero es posible que no tenga que recordar nada. Las contraseñas y los PIN con letras y números son relativamente fáciles de hackear, difíciles de recordar y, en general, inseguros. La biometría está comenzando a tomar su lugar, y las huellas dactilares, el reconocimiento facial y el escaneo de retina se están volviendo comunes incluso en los inicios de sesión de rutina para computadoras, teléfonos inteligentes y otros dispositivos comunes.

Son más seguros porque son más difíciles de falsificar, pero los datos biométricos tienen una vulnerabilidad crucial: una persona solo tiene una cara, dos retinas y 10 huellas dactilares. Representan contraseñas que no se pueden restablecer si están comprometidas.

Al igual que los nombres de usuario y las contraseñas, las credenciales biométricas son vulnerables a las violaciones de datos. En 2015, por ejemplo, se rompió la base de datos que contenía las huellas dactilares de 5,6 millones de empleados federales de EE. UU. Esas personas no deben usar sus huellas digitales para proteger ningún dispositivo, ya sea para uso personal o en el trabajo. La siguiente brecha podría robar fotografías o datos de escaneo de retina, haciendo que esos datos biométricos sean inútiles para la seguridad.

Nuestro equipo ha estado trabajando con colaboradores en otras instituciones durante años, y ha inventado un nuevo tipo de biométrico que está vinculado de manera única a un solo ser humano y se puede restablecer si es necesario.

Dentro de la mente

Cuando una persona mira una fotografía o escucha una pieza musical, su cerebro responde de una manera que los investigadores o profesionales médicos pueden medir con sensores eléctricos colocados en su cuero cabelludo. Hemos descubierto que el cerebro de cada persona responde de manera diferente a un estímulo externo, por lo que incluso si dos personas miran la misma fotografía, las lecturas de su actividad cerebral serán diferentes.

Este proceso es automático e inconsciente, por lo que una persona no puede controlar qué respuesta cerebral ocurre. Y cada vez que una persona ve una foto de una celebridad en particular, su cerebro reacciona de la misma manera, aunque de manera diferente a la de los demás.

Nos dimos cuenta de que esto presenta una oportunidad para una combinación única que puede servir como lo que llamamos una "contraseña del cerebro". No es solo un atributo físico de su cuerpo, como una huella digital o el patrón de los vasos sanguíneos en su retina. En cambio, es una mezcla de la estructura cerebral biológica única de la persona y su memoria involuntaria lo que determina cómo responde a un estímulo particular.

Hacer una contraseña de cerebro

La contraseña del cerebro de una persona es una lectura digital de su actividad cerebral mientras mira una serie de imágenes. Del mismo modo que las contraseñas son más seguras si incluyen diferentes tipos de caracteres (letras, números y puntuación), una contraseña de cerebro es más segura si incluye lecturas de ondas cerebrales de una persona que mira una colección de diferentes tipos de imágenes.

Para establecer la contraseña, la persona se autenticaría de otra manera, como venir a trabajar con un pasaporte u otro papel de identificación, o hacer que se revisen sus huellas dactilares o su cara con los registros existentes. Luego, la persona se pondría un sombrero suave y cómodo o un casco acolchado con sensores eléctricos en el interior. Un monitor mostraría, por ejemplo, una imagen de un cerdo, la cara de Denzel Washington y el texto Llamame ismael, la primera frase del clásico de Herman Melville, Moby Dick.

Los sensores registrarían las ondas cerebrales de la persona. Al igual que al registrar una huella digital para la identificación táctil de un iPhone, se necesitarían varias lecturas para recopilar un registro inicial completo. Nuestra investigación ha confirmado que una combinación de imágenes como esta evocaría lecturas de ondas cerebrales que son únicas para una persona en particular y consistentes de un intento de inicio de sesión a otro.

Más tarde, para iniciar sesión u obtener acceso a un edificio o habitación segura, la persona se pondría el sombrero y observaría la secuencia de imágenes. Un sistema informático compararía sus ondas cerebrales en ese momento con lo que se había almacenado inicialmente, y otorgaría el acceso o lo negaría, según los resultados. Tomaría aproximadamente cinco segundos, no mucho más que ingresar una contraseña o escribir un PIN en un teclado numérico.

Después de un hack

La verdadera ventaja de las contraseñas cerebrales entra en juego después del casi inevitable hackeo de una base de datos de inicio de sesión. Si un pirata informático irrumpe en el sistema almacenando las plantillas biométricas o utiliza dispositivos electrónicos para falsificar las señales cerebrales de una persona, esa información ya no es útil para la seguridad. Una persona no puede cambiar su cara o sus huellas dactilares, pero puede cambiar su contraseña de cerebro.

Es bastante fácil autenticar la identidad de una persona de otra manera, y hacer que establezca una nueva contraseña mirando tres imágenes nuevas, tal vez esta vez con una foto de un perro, un dibujo de George Washington y una cita de Gandhi. Debido a que son imágenes diferentes de la contraseña inicial, los patrones de ondas cerebrales también serían diferentes. Nuestra investigación ha encontrado que la nueva contraseña del cerebro sería muy difícil de descifrar para los atacantes, incluso si intentaran usar las viejas lecturas de ondas cerebrales como ayuda.

Las contraseñas de los cerebros se pueden restablecer sin fin, porque hay muchas fotos posibles y una amplia gama de combinaciones que se pueden hacer a partir de esas imágenes. No hay forma de quedarse sin estas medidas de seguridad mejoradas biométricamente.

Seguro - y seguro

Como investigadores, somos conscientes de que podría ser preocupante o incluso espeluznante para un empleador o servicio de Internet usar una autenticación que lea la actividad cerebral de las personas. Parte de nuestra investigación consistió en averiguar cómo tomar solo la cantidad mínima de lecturas para garantizar resultados confiables, y una seguridad adecuada, sin necesitar tantas mediciones que una persona pueda sentirse violada o preocupada de que una computadora esté tratando de leer su mente.

Inicialmente intentamos usar 32 sensores en la cabeza de una persona y encontramos que los resultados eran confiables. Luego, reducimos progresivamente la cantidad de sensores para ver cuántos realmente se necesitaban, y descubrimos que podíamos obtener resultados claros y seguros con solo tres sensores ubicados correctamente.

Esto significa que nuestro dispositivo sensor es tan pequeño que puede caber de manera invisible dentro de un sombrero o un casco de realidad virtual. Eso abre la puerta a muchos usos potenciales. Por ejemplo, una persona que usa ropa para la cabeza inteligente podría desbloquear fácilmente puertas o computadoras con contraseñas mentales. Nuestro método también podría hacer que los autos sean más difíciles de robar: antes de comenzar, el conductor tendría que ponerse un sombrero y mirar algunas imágenes que se muestran en la pantalla del tablero.

Se abren otras vías a medida que surgen nuevas tecnologías. El gigante chino de comercio electrónico Alibaba reveló recientemente un sistema para utilizar la realidad virtual para comprar artículos, incluso realizar compras en línea en el entorno de realidad virtual. Si la información de pago se almacena en el auricular VR, cualquier persona que la use o la robe podrá comprar cualquier cosa que esté disponible. Un auricular que lee las ondas cerebrales de sus usuarios haría que las compras, los inicios de sesión o el acceso físico a áreas sensibles sean mucho más seguros.

Este artículo fue publicado originalmente en The Conversation por Wenyao Xu, Feng Lin y Zhanpeng Jin. Lee el artículo original aquí.