Cómo perdí y recuperé el control de mi implante de microchip
El eslabón más débil es la tercera semana temática anual de Motherboard dedicada al futuro de la piratería informática y la ciberseguridad. Síguelo aquí.
Escucha el nuevo podcast de hacking de Motherboard, CYBER, aquí.
Era justo antes de la medianoche cuando tomé la decisión impulsiva que me transformaría en el cyborg más inútil del mundo.
Mi amigo y yo acabábamos de salir de un concierto gratuito en la 25ª edición de la Def Con, la mayor conferencia de hackers del mundo, y estábamos vagando por los pasillos del hotel Caesars de Las Vegas tratando de decidir qué hacer con el resto de nuestra noche. Entonces recibí el fatídico mensaje de texto de un amigo: «El pueblo de Biohacking cierra por esta noche, quedan algunos implantes»
Había hecho algunos comentarios casuales durante el fin de semana sobre el deseo de implantarme un chip de comunicaciones de campo cercano (NFC) en la mano, pero cada vez que iba a visitar el stand había una larga espera. Esta sería mi última oportunidad de implantarme un chip en la conferencia, así que decidimos pasarnos por allí a la salida del hotel.
Cuando llegué a la aldea del biohacking sólo quedaba un chip NFC. Se sentía como el destino, por lo que forked más de $ 50 en efectivo y tomó asiento en la estación de perforación. Ya me había hecho algunos piercings antes, así que la perspectiva de que me pincharan no me molestaba tanto como la de que me inyectaran un dispositivo electrónico pasivo en la mano en la sala de conferencias de un hotel.
Si tuviera un único consejo para quien esté pensando en hacerse un implante de chip NFC sería que lo hiciera sobrio.
El autor a punto de hacerse un implante NFC en la Def Con de 2017. Imagen: Daniel Oberhaus
Los chips NFC son similares a los chips de identificación por radiofrecuencia (RFID) que se utilizan para cosas como las insignias de los empleados o el seguimiento de la mercancía en las tiendas, excepto que no son tan potentes (de ahí lo de campo cercano) y permiten la comunicación bidireccional. Los chips NFC pueden utilizarse para almacenar pequeñas cantidades de información, como contraseñas, información de contacto, una dirección web o incluso una foto.
Cuando un chip NFC se acerca a unos pocos centímetros de un lector NFC (la mayoría de los smartphones modernos vienen con capacidad NFC), los datos del chip pueden transferirse al lector. El lector genera una débil corriente eléctrica que crea un pequeño campo magnético. Cuando el chip NFC está dentro de ese campo magnético, una pequeña bobina en el chip utiliza la energía del teléfono para producir su propio campo, de modo que los datos almacenados en el dispositivo pueden ser transferidos al lector.
El chip NFC que me inyectaron en la mano fue fabricado por Dangerous Things, una empresa de biohacking creada por Amal Graafstra que también ha sido pionera en las armas biométricas DIY. Graafstra ha estado vendiendo estos chips desde que recaudó 30.000 dólares en una campaña de crowdfunding en 2014. El chip está encerrado en un pequeño tubo de vidrio de poco menos de media pulgada de longitud y apenas dos milímetros de diámetro. Este tubo se inyecta en la carne blanda entre el pulgar y el dedo índice, justo por encima de la cincha. Cuando se sostiene la mano en determinadas posiciones, el contorno del chip apenas puede verse presionando contra la piel.
Una primera versión del chip xNT NFC implantado en mi mano. Imagen: Dangerous Things/Vimeo
El proceso real de conseguir el implante salió sin problemas, pero las cosas se desviaron rápidamente después de eso. Lo que ocurre con los chips NFC es que cualquiera que tenga un lector también puede escribir en el dispositivo si no está protegido. Aunque esto no es exactamente una gran amenaza para la seguridad, dado que alguien tendría que acercar el lector a varios centímetros de tu mano para escribir en el chip, cuando estás en la mayor conferencia de hackers del mundo es mejor ir a lo seguro.
Así que, a instancias de todos en la estación de implantes, lo primero que hice con mi implante fue asegurarlo con un pin de cuatro dígitos. No había decidido qué tipo de datos quería poner en el chip, pero estaba claro que no quería que otra persona escribiera primero en mi chip y me bloqueara potencialmente. Elegí el mismo pin que usaba para mi teléfono para no olvidarlo por la mañana, o al menos eso creía.
Lee más: 72 Horas de Pwnage: A Paranoid Noob Goes to Def Con
Si tuviera un solo consejo para quien esté pensando en implantarse un chip NFC sería que lo hiciera sobrio. Para empezar, es probable que el perforador ni siquiera te haga el implante si sospecha que estás intoxicado por razones que tienen que ver con el consentimiento y la seguridad (el alcohol adelgaza la sangre, que es también la razón por la que no deberías hacerte un tatuaje estando borracho). Pero lo más importante es que no te despertarás a la mañana siguiente con un fuerte dolor de cabeza y sin saber en absoluto cómo desbloquear tu mano.
Una captura de pantalla de NFC Shell, una aplicación de Android que tuve que cargar lateralmente para enviar comandos a mi implante NFC. Aquí estoy introduciendo diferentes combinaciones de contraseñas en código hexadecimal (por ejemplo, 30303030 = «0000»). El shell devuelve «NAK», lo que significa que las combinaciones son incorrectas.
Pasé la mayor parte de mi primer día como cyborg recorriendo desesperadamente las distintas posibilidades de pines que me impedían desbloquear el chip NFC de mi mano y añadirle datos. Probé todos los candidatos obvios -00, 1234, 6969- y los diversos pines que utilizo en otras partes de mi vida. Probé los lectores NFC de varios teléfonos, así como los dispositivos NFC específicos. Pasé demasiado tiempo leyendo sobre los protocolos utilizados para asegurar el chip, pero la conclusión parecía ineludible: Me había adueñado irremediablemente de mí mismo.
Cómo recuperé el acceso a mi mano
Para cuando salí de la Def Con, había aceptado mi destino de cíborg totalmente inútil. Es posible quitar los implantes NFC, por supuesto. El proceso implica una cirugía menor y, por lo que he leído, no es realmente un gran problema. Sin embargo, cuando llegó la semana del hacking de este año, me pareció una buena oportunidad para intentar desbloquear mi mano por última vez. Así que publiqué en el foro de Dangerous Things con la esperanza de que alguien más había experimentado problemas similares con su chip NFC.
Graafstra respondió y dijo que probablemente tenía que ver con el hecho de que había utilizado una aplicación NFC de terceros para establecer la contraseña cuando me dieron el chip por primera vez. Dangerous Things recomienda asegurar sus implantes de chip utilizando su propia aplicación NFC. Después, se puede utilizar cualquier aplicación de terceros para añadir o leer el contenido del implante. El problema, sin embargo, es si usas una de esas apps para configurar la contraseña en primer lugar.
Sin entrar en los detalles técnicos de por qué esto es un problema, estas apps alteran una parte específica del mecanismo de seguridad del chip para que sólo pueda ser alterada por esa misma app. En otras palabras, para desbloquear mi mano tendría que recordar no sólo la contraseña, sino qué aplicación NFC había utilizado para establecerla.
No estaba del todo seguro de la contraseña que utilicé para asegurar mi mano, pero tenía una media docena de candidatos principales, así que era sobre todo una cuestión de averiguar qué aplicación se había utilizado para proteger el chip. Empecé utilizando una aplicación llamada NFC Shell que permite a los usuarios emitir comandos en formato hexadecimal directamente al chip NFC. La aplicación había sido eliminada de la tienda de Google Play unos meses antes por razones desconocidas, así que tuve que cargar la aplicación en mi teléfono. Después de varios intentos de tratar de averiguar la contraseña utilizando la cáscara, empecé a probar varias aplicaciones comerciales.
Después de probar una aplicación llamada Herramientas NFC sin suerte, me trasladé a NXP TagWriter. Probé cinco o seis combinaciones de pines diferentes, ninguna de las cuales funcionó. Estaba a punto de rendirme con esa aplicación cuando decidí probar una última combinación de pines, y funcionó. En total, probablemente me llevó cinco horas leer documentos técnicos y probar diferentes combinaciones de contraseñas, aplicaciones NFC y lectores NFC para recuperar el acceso a mi implante.
Es una sensación extraña tener acceso al chip en mi mano por primera vez desde que me lo implantaron hace más de un año. Ahora todo lo que tengo que hacer es decidir qué almacenar en los aproximadamente 900 bytes de memoria implantados en mi mano. Quizá ponga un GIF o mi información de contacto, pero una parte de mí quiere dejarlo en blanco. Después de un año de vivir con un implante NFC totalmente inútil, me ha empezado a gustar. Ese pequeño y casi imperceptible bulto en mi mano izquierda era un recordatorio constante de que incluso las tecnologías más sofisticadas y a prueba de tontos no son rivales para la incompetencia humana.