Una debilidad en un software de código abierto común para el análisis genómico dejó a los diagnósticos médicos basados ​​en el ADN vulnerables a los ciberataques.

Los investigadores de Sandia National Laboratories identificaron la debilidad y notificaron a los desarrolladores de software, que emitió un parche para solucionar el problema. El problema también se ha solucionado en la última versión del software. Si bien no se conoce ningún ataque de esta vulnerabilidad, los Institutos Nacionales de Estándares y Tecnología lo describieron recientemente en una nota a los desarrolladores de software, investigadores de genómica y administradores de redes.

El descubrimiento revela que proteger la información genómica implica más que el almacenamiento seguro de la información genética de un individuo. La ciberseguridad de los sistemas informáticos que analizan datos genéticos también es fundamental, dijo Corey Hudson, investigador de bioinformática en Sandia que ayudó a descubrir el problema.

La medicina personalizada, el proceso de utilizar la información genética de un paciente para guiar el tratamiento médico, implica dos pasos:secuenciar todo el contenido genético de las células de un paciente y comparar esa secuencia con un genoma humano estandarizado. A través de esa comparación, los médicos identifican cambios genéticos específicos en un paciente que están relacionados con una enfermedad.

La secuenciación del genoma comienza con cortar y replicar la información genética de una persona en millones de pequeñas piezas. Luego, una máquina lee cada pieza varias veces y transforma las imágenes de las piezas en secuencias de bloques de construcción, comúnmente representado por las letras A, T, C y G. Finalmente, El software recopila esas secuencias y hace coincidir cada fragmento con su lugar en una secuencia estandarizada del genoma humano. Un programa de emparejamiento utilizado ampliamente por los investigadores de genómica personalizada se llama Burrows-Wheeler Aligner (BWA).

Los investigadores de Sandia que estudian la ciberseguridad de este programa encontraron un punto débil cuando el programa importa el genoma estandarizado de servidores gubernamentales. La secuencia del genoma estandarizada viajó por canales inseguros, que creó la oportunidad para un ciberataque común llamado "hombre en el medio".

En este ataque, un adversario o un pirata informático podría interceptar la secuencia estándar del genoma y luego transmitirla a un usuario de BWA junto con un programa malicioso que altera la información genética obtenida de la secuenciación. El malware podría cambiar los datos genéticos sin procesar de un paciente durante el mapeo del genoma, haciendo el análisis final incorrecto sin que nadie lo sepa. Prácticamente, esto significa que los médicos pueden recetar un medicamento según el análisis genético que, si hubieran tenido la información correcta, habrían sabido que sería ineficaz o tóxico para un paciente.

Los laboratorios forenses y las empresas de secuenciación del genoma que también utilizan este software de mapeo fueron temporalmente vulnerables a que los resultados se alteren maliciosamente de la misma manera. La información de las pruebas genéticas directas al consumidor no se vio afectada por esta vulnerabilidad porque estas pruebas utilizan un método de secuenciación diferente al de la secuenciación del genoma completo. Dijo Hudson.

Cybersleuths de seguridad

Para encontrar esta vulnerabilidad, Hudson y sus colegas de ciberseguridad de la Universidad de Illinois en Urbana-Champaign utilizaron una plataforma desarrollada por Sandia llamada Emulytics para simular el proceso de mapeo del genoma. Primero, importaron información genética simulada para parecerse a la de un secuenciador. Luego, dos servidores enviaron información a Emulytics. Uno proporcionó una secuencia estándar del genoma y el otro actuó como interceptor del "hombre en el medio". Los investigadores mapearon los resultados de la secuenciación y compararon los resultados con y sin un ataque para ver cómo el ataque cambió la secuencia final.

"Una vez que descubrimos que este ataque podría cambiar la información genética de un paciente, seguimos la divulgación responsable, ", Dijo Hudson. Los investigadores se pusieron en contacto con los desarrolladores de código abierto, quien luego emitió un parche para solucionar el problema. También se pusieron en contacto con agencias públicas, incluidos los expertos en ciberseguridad del equipo de preparación para emergencias informáticas de EE. UU., para que pudieran distribuir más ampliamente la información sobre este tema.

La investigación, financiado por el programa de Investigación y Desarrollo Dirigido por Laboratorio de Sandia, continúa probando otro software de mapeo del genoma para detectar debilidades de seguridad. Las diferencias entre cada programa de computadora significan que los investigadores pueden encontrar un pero no idéntico, asunto, Dijo Hudson. Los fondos del LDRD también respaldan la membresía en el Centro de Biología Computacional y Medicina Genómica de la Fundación Nacional de Ciencias.

Además de instalar la última versión de BWA, Hudson y sus colegas recomiendan otras estrategias de "ciberhigiene" para proteger la información genómica, incluida la transmisión de datos a través de canales cifrados y el uso de software que protege los datos de secuenciación para que no se modifiquen. También alientan a los investigadores de seguridad que analizan de forma rutinaria el software de código abierto en busca de debilidades a examinar los programas de genómica. Esta práctica es común en los sistemas de control industrial de la red energética y el software utilizado en la infraestructura crítica. Hudson dijo:pero sería un área nueva para la seguridad genómica.

"Nuestro objetivo es hacer que los sistemas sean más seguros para las personas que los utilizan, ayudando a desarrollar las mejores prácticas, " él dijo.