Los fallos de seguridad en los secuenciadores genéticos portátiles corren el riesgo de filtrar datos privados de ADN

Según un nuevo estudio, los secuenciadores genéticos portátiles utilizados en todo el mundo para secuenciar ADN tienen vulnerabilidades de seguridad críticas, no reportadas anteriormente, que podrían revelar o alterar información genética sin detección.

Investigadores de la Universidad de Florida han descubierto por primera vez estos riesgos de seguridad en dispositivos de Oxford Nanopore Technologies, que produce casi todos los secuenciadores genéticos portátiles del mundo.

Alertada por los investigadores de seguridad, Oxford Nanopore Technologies ha implementado un software actualizado para corregir las vulnerabilidades. Pero el software obsoleto o los sistemas de Internet no seguros aún podrían dejar a algunos secuenciadores de ADN vulnerables a ataques.

«Nadie en el mundo había examinado la seguridad de estos dispositivos, lo que me sorprendió», dijo Christina Boucher, Ph.D., profesora de ingeniería y ciencias de la información y la computación en la UF, experta en bioinformática y coautora del nuevo informe.

Boucher colaboró ​​con Sara Rampazzi, Ph.D., también profesora de ingeniería y ciencias de la información y la computación, experta en ciberseguridad y líder de proyecto en la UF, y estudiantes del departamento para probar los secuenciadores Nanopore en busca de fallas de seguridad. El estudio sirve como advertencia a la comunidad científica de que las nuevas amenazas a los datos genómicos exigen un cambio hacia sistemas «seguros por diseño» a medida que los secuenciadores de ADN portátiles se vuelven cada vez más comunes. El equipo publicó sus hallazgos en Comunicaciones de la naturaleza.

Los investigadores descubrieron tres vulnerabilidades en el secuenciador portátil Oxford Nanopore MinION y su software asociado. Dos de estos fallos permiten que un usuario no autorizado acceda indebidamente al dispositivo y potencialmente copie o altere los datos de ADN sin el conocimiento del usuario autorizado. Una tercera falla expone el secuenciador a un ataque de denegación de servicio, lo que detendría la operación de secuenciación y haría que el dispositivo pareciera roto.

El Agencia de Ciberseguridad y Seguridad de Infraestructurascoordinador de ciberdefensa del gobierno federal, verificó estas vulnerabilidades en un informe publicado el 21 de octubre. El informe también proporciona instrucciones de Oxford Nanopore Technologies sobre cómo los usuarios pueden actualizar sus secuenciadores para solucionar los fallos de seguridad.

Las versiones con software más antiguo permanecerían abiertas a ataques. Esto es especialmente posible cuando los secuenciadores portátiles están conectados a redes Wi-Fi no seguras o el control remoto está activado.

Estos secuenciadores del tamaño de la palma de la mano, que cuestan sólo unos pocos miles de dólares y pueden funcionar en cualquier parte del mundo, han transformado el trabajo antes engorroso y costoso de secuenciar el ADN. Pero esa portabilidad contribuye a los riesgos de seguridad de estos dispositivos porque los secuenciadores deben estar conectados a una computadora para funcionar.

«Estás conectando un dispositivo muy especializado a un dispositivo de uso general como una computadora portátil, que se supone intrínsecamente seguro», dijo Rampazzi. «En cambio, esa computadora portátil podría estar conectada a una red no segura, o podría estar infectada con malware o ransomware, especialmente si se usa en el campo fuera de entornos controlados».

Estos secuenciadores de nanoporos se comercializan únicamente para uso en investigación y no para diagnóstico clínico. Sin embargo, incluso cuando se limitan a la investigación, estos dispositivos pueden usarse para secuenciar el ADN de las personas.

El Instituto Nacional de Estándares y Tecnología de EE. UU., que se centra en definir pautas de privacidad y ciberseguridad genómica, apenas ha comenzado a considerar casos de uso de investigación en distinción del uso clínico. en su último borrador de directricesdestacando la mayor atención sobre el tema y la falta de un estándar claro.

Revelar estas vulnerabilidades no descubiertas anteriormente solo fue posible gracias a la colaboración interdisciplinaria entre los laboratorios Rampazzi y Boucher. Boucher desarrolla algoritmos para analizar mejor el ADN, mientras que Rampazzi investiga fallas de seguridad en sistemas críticos que van desde dispositivos médicos y automóviles autónomos hasta centros de datos submarinos. La combinación de su experiencia ayudó a alertar a la comunidad sobre una importante amenaza a la privacidad.

«En bioinformática, no hemos estado trabajando tan estrechamente con la comunidad de seguridad como creo que deberíamos», dijo Boucher.