Vulnerabilidades en secuenciadores genéticos portátiles ponen en riesgo datos privados

Los secuenciadores genéticos portátiles, utilizados en todo el mundo para analizar ADN, presentan vulnerabilidades críticas de seguridad que podrían permitir la revelación o alteración de información genética sin detección, según un nuevo estudio.

Investigadores de la Universidad de Florida expusieron por primera vez estos riesgos en dispositivos de Oxford Nanopore Technologies, que produce casi todos los secuenciadores genéticos portátiles a nivel global. Alertados por los investigadores de seguridad, Oxford Nanopore ha lanzado actualizaciones de software para corregir las vulnerabilidades. Sin embargo, el software desactualizado o los sistemas de internet inseguros podrían dejar algunos secuenciadores de ADN vulnerables a ataques.

"Nadie en el mundo había analizado la seguridad de estos dispositivos, lo que me sorprendió", comentó Christina Boucher, Ph.D., profesora de ciencias de la computación e ingeniería en UF, experta en bioinformática y coautora del nuevo informe. Boucher colaboró con Sara Rampazzi, Ph.D., también profesora de ciencias de la computación e ingeniería y experta en ciberseguridad, junto con estudiantes del departamento para probar los secuenciadores Nanopore en busca de fallas de seguridad. El estudio sirve como una advertencia a la comunidad científica de que las nuevas amenazas a los datos genómicos exigen un cambio hacia sistemas "diseñados para ser seguros" a medida que los secuenciadores de ADN portátiles se vuelven cada vez más comunes. El equipo publicó sus hallazgos en Nature Communications.

Los investigadores descubrieron tres vulnerabilidades en el secuenciador portátil MinION de Oxford Nanopore y su software asociado. Dos de estas fallas permiten a un usuario no autorizado acceder indebidamente al dispositivo y potencialmente copiar o alterar los datos de ADN sin el conocimiento del usuario autorizado. Una tercera falla abre el secuenciador a un ataque de denegación de servicio, que detendría la operación de secuenciación y haría que el dispositivo pareciera roto.

La Agencia de Ciberseguridad e Infraestructura, coordinadora de defensa cibernética del gobierno federal, verificó estas vulnerabilidades en un informe publicado el 21 de octubre. El informe también proporciona instrucciones de Oxford Nanopore sobre cómo los usuarios pueden actualizar sus secuenciadores para abordar las fallas de seguridad.

Las versiones con software más antiguo seguirían abiertas a ataques, especialmente cuando los secuenciadores portátiles están conectados a redes Wi-Fi inseguras o cuando se activa el control remoto.

Con un costo de solo unos pocos miles de dólares y la capacidad de operar en cualquier parte del mundo, estos secuenciadores del tamaño de la palma de la mano han transformado el trabajo de secuenciación de ADN, que anteriormente era engorroso y costoso. Sin embargo, esa portabilidad contribuye a los riesgos de seguridad de estos dispositivos, ya que deben estar conectados a una computadora para funcionar.

"Se está conectando un dispositivo muy especializado a un dispositivo de propósito general como una laptop, que se asume intrínsecamente que es seguro", dijo Rampazzi. "En cambio, esa laptop podría estar conectada a una red no segura, o podría estar infectada con malware o ransomware, especialmente si se utiliza en el campo fuera de entornos controlados."

Estos secuenciadores de nanoporo están comercializados solo para uso en investigación y no para diagnóstico clínico. Sin embargo, incluso cuando se limitan a la investigación, estos dispositivos pueden usarse para secuenciar el ADN de personas.

El Instituto Nacional de Estándares y Tecnología de EE. UU., que se centra en definir pautas de ciberseguridad y privacidad genómica, solo ha comenzado a considerar casos de uso de investigación en distinción del uso clínico en sus últimas pautas preliminares, destacando la creciente atención sobre el tema y la falta de un estándar claro.

Revelar estas vulnerabilidades previamente desconocidas fue posible gracias a la colaboración interdisciplinaria entre los laboratorios de Rampazzi y Boucher. Boucher desarrolla algoritmos para analizar mejor el ADN, mientras que Rampazzi investiga fallas de seguridad en sistemas críticos que van desde dispositivos médicos hasta autos autónomos y centros de datos submarinos. Combinar su experiencia ayudó a alertar a la comunidad sobre una amenaza significativa a la privacidad.

"En bioinformática, no hemos estado trabajando tan de cerca con la comunidad de seguridad como creo que deberíamos", concluyó Boucher.

Temas