El Epoc+ es un casco detector de ondas cerebrales cuyo reclamo publicitario es que es capaz de identificar estados emocionales como la frustración y la excitación, y que permite a los usuarios controlar robots con la mente.

Pero el profesor adjunto de la Universidad de Alabama en Birmingham (EEUU) Nitesh Saxena ha demostrado que el software también puede adivinar los PIN y las contraseñas al monitorizar las ondas cerebrales de una persona. Su estudio se une a un pequeño pero creciente cuerpo de pruebas sobre la seguridad de interfaces cerebrales, sobre las cuales los investigadores afirman que incluso los cascos más sencillos que existen necesitan más seguridad. Sin ella, los datos privados podrían ser robados.

Saxena afirma: "Yo diría que es un riesgo para los dispositivos actuales y, con dispositivos más avanzados, se podría hacer mucho más en el futuro. La gente tiene que pensar detenidamente en los modelos de privacidad y seguridad de estas interfaces". Facebook y una nueva start-up de Elon Musk ya figuran en la lista de las empresas que trabajan en interfaces cerebrales más avanzadas, las cuales tendrían aún más riesgos de seguridad (ver Musk no inventará la telepatía en una década, pero puede que sí más tarde y Los planes de ciencia ficción de Facebook para teclear con la mente y oír con la piel).

El Epoc+, de Emotiv, forma parte del puñado de dispositivos actualmente disponibles que emplean un casco con electrodos para detectar los cambios de voltaje en la capa exterior del cerebro, un enfoque conocido como electroencefalografía (ECG). Estos aparatos se emplean principalmente en investigaciones y medicina para dirigir robots y diagnosticar una conmoción cerebral. A los consumidores se les ofrecen como controladores de videojuegos (ver Otro nuevo enfoque intenta conquistar la realidad virtual: el control mental).

Las señales de ECG no bastan para leer los pensamientos ni las acciones que una persona quiere realizar, y el control que ofrecen es relativamente limitado. Pero los experimentos de la Universidad de Alabama se suman a las pruebas de que son capaces de detectar mucha información privada.

La premisa del estudio era comprobar si cuando una persona pausa un videojuego e inicia sesión en su cuenta bancaria mientras lleva puesto un casco de ECG queda expuesta a software malicioso que espía sus credenciales personales mediante las ondas cerebrales.

La gente primero introdujo números PIN y contraseñas aleatorios mientras portaba el casco. Esto permitió al software aprender el vínculo entre lo que se teclea y las ondas cerebrales. Saxena señala que este paso podría ser ejecutado por un juego que pida al usuario introducir texto o códigos como parte del juego, por ejemplo.

Tras observar cómo una persona introducía alrededor de 200 caracteres, los algoritmos fueron capaces de hacer conjeturas sobre los nuevos caracteres introducidos a partir de sus datos de ECG. Esta capacidad permitiría que un un juego malicioso espiara al usuario. El sistema aumenta las probabilidades de adivinar un PIN numérico de cuatro dígitos de 1/10.000 a 1/20, y las de adivinar una contraseña de seis caracteres de 1/500.000 a 1/500.

Cuando le preguntamos sobre la investigación, un portavoz de Emotiv dijo que un ataque de ese tipo sería poco práctico. Los usuarios sospecharían si un programa intentara que realizaran el entrenamiento requerido para que el software adivine los caracteres y la compañía aprueba todo el software que se conecta a sus cascos, afirmó el portavoz. Pero el investigador de seguridad de IOActive Alejandro Hernández, que ha estudiado la seguridad del hardware ECG y el software relacionado, considera que el ataque planteado por el equipo de Alabama es "100% factible". Su investigación indica que muchos programas de software de ECG actuales no están bien diseñados y resultan fáciles de hackear.

Unos investigadores de la Universidad de Washington (EEUU) han demostrado otra manera de extraer datos privados con un casco de ECG. Crearon juegos que presentan imágenes subliminales como logos de bancos y después anotan cuándo las ondas cerebrales de una persona registran el reconocimiento. Eso podría proporcionar valiosos datos para campañas de phishing o publicidad, o incluso datos sobre la orientación sexual de una persona, señala la investigadora Tamara Bonaci que participó en el estudio.

El grupo de Washington dice que uno de los objetivos de su investigación es hacer hincapié en cómo las empresas han recopilado agresivamente amplios datos sobre nuestro uso de internet y desde los dispositivos móviles, por ejemplo, para la dirección de los anuncios digitales.

Incluso sin acceso a los datos cerebrales, las empresas ya buscan pistas emocionales en los textos para inferir los estados emocionales de la gente, y unos documentos filtrados al periódico Australian demuestran que Facebook ha considerado dirigir anuncios a adolescentes en función de sus emociones. El mes pasado, un abogado y experto en ética de la Universidad de Zúrich (Suiza) hizo un llamamiento a favor del desarrollo de nuevos marcos legales para las neurotecnologías, incluido el "derecho a la privacidad mental".

Bonaci dice que las empresas que trabajan en cascos de ECG deberían abordar estos problemas ya, porque las apuestas van al alza mientras el aprendizaje automático ayuda a los investigadores a extraer cada vez más información de los datos de ECG. El experto concluye: "Las mejoras han sido tremendas durante los últimos años, y preveo que esa tendencia continuará".