Oculto dentro de nuestro código genético hay un gran tesoro de información personal sobre nuestra salud, relaciones, personalidad e historia familiar. Dado todos los detalles sensibles que una prueba de ADN puede revelar, uno esperaría que la gente y los programas que manejan esta información estarían vigilados en la salvaguardia de su seguridad. Pero resulta que no es necesariamente el caso.

En un nuevo estudio que se presentará la próxima semana en el 26º Simposio de Seguridad de USENIX en Vancouver, investigadores de la Universidad de Washington analizaron las prácticas de seguridad de los programas comunes de procesamiento de ADN de código abierto y encontraron que, en general, carecían de eficacia. Esto significa que toda esa información súper sensible que los programas están procesando es potencialmente vulnerable a los ciberatacantes. Si piensas que el fraude de la seguridad social es malo, imagina a alguien atacando tu código genético.

“Puedes imaginar a alguien alterando el ADN en una escena del crimen, o haciéndolo ilegible. O un atacante robando datos o modificándolo de cierta manera para que parezca que alguien tiene una enfermedad cuando realmente no la tiene", dijo Peter Ney, coautor del estudio revisado por pares y estudiante de doctorado en el Laboratorio de Investigación de Seguridad y Privacidad de la escuela, dijo a Gizmodo.

Ahora, esto no significa que si has usado 23andMe, un servicio para conocer tu ascendencia y estado de salud por medio de tu información genética, debes comenzar a entrar en pánico. Leer ADN es mucho más barato hoy de lo que ha sido en el pasado, pero todavía es algo que requiere una máquina grande y cara. Escribir ADN es aún más difícil. Estas características crean un gran obstáculo para cualquiera que esté interesado en atacar el software de secuenciación.

"En el futuro", sin embargo, dijo el co-autor Lee Organick, "podría no ser siempre el caso".

En este momento, por ejemplo, las máquinas de Illumina pueden secuenciar ADN por alrededor de $ 1,000 USD, pero la compañía ha prometido que en la próxima década lo hará por $100 USD.

No hace falta mucho para imaginar cómo exponer la información genética de alguien podría ser perjudicial. Los ciberatacantes podrían manipular la evidencia de la escena del crimen, exponer información de salud privada o detalles sobre las relaciones familiares de alguien. Imagine Wikileaks filtre que un candidato tiene, por ejemplo, una fuerte probabilidad de desarrollar Alzheimer. ¿Podría influir en el voto de la gente? Las leyes de discriminación anti-genética de EE.UU. (bastante débiles) no pueden hacer mucho para protegerte si tu información está expuesta ilegalmente.

Los investigadores de la Universidad de Washington analizaron específicamente los programas que procesan y analizan el ADN después de la secuenciación. Estos son los algoritmos que interpretan su información genética y dicen, por ejemplo, si estás en riesgo de desarrollar una determinada enfermedad. Empresas como 23andMe o Ancestry.com usan programas similares, como lo hacen las pruebas de ADN de nuevas empresas como las que se encuentran en la tienda de aplicaciones de DNA de Helix. Los investigadores examinaron las versiones de código abierto de uso común de esos programas. Muchos, según ellos, estaban escritos en lenguajes de programación conocidos por tener problemas de seguridad. Algunos también contenían vulnerabilidades específicas y problemas de seguridad.

"Este análisis básico de seguridad implica que la seguridad de la secuencia de procesamiento de datos no es suficiente si fueran objetivos de los ciberatacantes“, escribieron.

Por otra parte, los investigadores analizaron si el ADN utilizado para almacenar información no genética podría ser vulnerable al malware. Ellos encontraron que sí lo es. Si bien esta amenaza parece un poco más ciencia ficción, también es preocupante. Esto significa que podría programar malware en ADN y luego usarlo para tomar el control de una máquina que se utiliza para analizarlo. Los ciberatacantes podrían, en teoría, falsificar una muestra de sangre o saliva y luego usarla para obtener acceso a los sistemas informáticos cuando se están analizando esas muestras.

Ese riesgo, aunque fascinante, es poco más que teórico. Codificar ADN con información es una búsqueda extremadamente nueva, y un código como el que instruye a una computadora a ejecutar una tarea corre el riesgo de ser ilegible por todo el resto de ruido en una secuencia de ADN. Con el fin de lograr esta hazaña, los investigadores tuvieron que desactivar las características de seguridad informática e incluso añadir una vulnerabilidad al programa de secuenciación de ADN.

Greg Hampikian, profesor de biología y justicia penal en Boise State, dijo que las vulnerabilidades más inmediatas que los investigadores destacan son preocupantes.

"Si pudieras entrar a un laboratorio forense, podrías alterar los datos, pero si puedes accesar a los datos del laboratorio forense, tendrías una ruta mucho más eficiente. Y si los datos son alterados, eso es lo que se usará para testificar en la corte", dijo. "Hemos tenido accidentes donde los tubos han sido intercambiados. Si pudieras alterar o borrar maliciosamente eso, obviamente sería un gran problema".

Michael Marciano, biólogo molecular forense de la Universidad de Syracuse, dijo que aunque cree que las prácticas de seguridad en la investigación académica y médica no representan una amenaza en este momento, las compañías de análisis de ADN son una caja negra.

"Con 23andMe y Ancestry les estás dejando tu ADN a ellos, y ¿cómo están manejando la seguridad del ADN? Allí los datos están vinculados con tu nombre", dijo.

Debido a que no está claro cómo se aseguran y usan esos datos, le dijo a Gizmodo, e incluso recomienda que sus estudiantes se mantengan alejados de las pruebas de ADN.

"No hay nada más sensible que el ADN de alguien", dijo.

Esto no significa que usted debe llamar 23andMe y pedir que destruyan los archivos de su ADN. En lugar de eso, los investigadores esperan que destacar estos problemas de seguridad antes de que los datos de ADN sean más vulnerables a los ataques evitará que los ciberatacantes divulguen nuestros secretos biológicos.

"No creemos que la gente deba cambiar su comportamiento. La prueba de ADN es importante", dijo Ney. "Pero a medida que esta tecnología crezca y se vuelve más ubicua, es algo que la industria necesita pensar. Están trabajando con datos muy sensibles".