El ataque de inyección de ADN demuestra una nueva amenaza de código malicioso que altera los procesos biológicos
Ciberinvestigadores de la Universidad Ben-Gurion del Negev han descubierto un ataque ciberbiológico de extremo a extremo, en el que los biólogos involuntarios pueden ser engañados para que generen toxinas peligrosas en sus laboratorios.
Según un nuevo artículo recién publicado en Nature Biotechnology, actualmente se cree que un delincuente necesita tener contacto físico con una sustancia peligrosa para producirla y entregarla. Sin embargo, el malware podría reemplazar fácilmente una subcadena corta del ADN en la computadora de un bioingeniero para que sin querer cree una secuencia productora de toxina.
"Para regular la generación intencional y no intencional de sustancias peligrosas, la mayoría de los proveedores de genes sintéticos examinan las órdenes de ADN, que actualmente es la línea de defensa más efectiva contra tales ataques", dice Rami Puzis, miembro del Departamento de Ingeniería de Sistemas de Información y Software y Cyber@BGU. California fue el primer estado en introducir en 2020 una legislación de regulación de la compra de genes.
"Sin embargo, fuera del estado, los bioterroristas pueden comprar ADN peligroso de empresas que no examinan los pedidos", dice Puzis. "Desafortunadamente, las pautas de detección no se han adaptado para reflejar los desarrollos recientes en biología sintética y guerra cibernética".
Una debilidad en la guía del Departamento de Salud y Servicios Humanos (HHS) de los EE. UU. para los proveedores de ADN permite que los protocolos de detección se eludan mediante un procedimiento de ofuscación genérico que dificulta que el software de detección detecte el ADN que produce la toxina. "Con esta técnica, nuestros experimentos revelaron que 16 de 50 muestras de ADN ofuscadas no se detectaron cuando se analizaron de acuerdo con las pautas del HHS de 'mejor coincidencia'", dice Puzis.
Los investigadores también encontraron que la accesibilidad y la automatización del flujo de trabajo de la ingeniería genética sintética, combinadas con insuficientes controles de ciberseguridad, permiten que el malware interfiera con los procesos biológicos dentro del laboratorio de la víctima, cerrando el ciclo con la posibilidad de un exploit escrito en una molécula de ADN.
El ataque de inyección de ADN demuestra una nueva amenaza significativa de código malicioso que altera los procesos biológicos. Aunque existen ataques más simples que pueden dañar los experimentos biológicos, hemos optado por demostrar un escenario que hace uso de múltiples debilidades en tres niveles del flujo de trabajo de bioingeniería: software, detección de bioseguridad y protocolos biológicos. Este escenario destaca las oportunidades para aplicar los conocimientos sobre ciberseguridad en nuevos contextos como la bioseguridad y la codificación genética.
"Este escenario de ataque subraya la necesidad de fortalecer la cadena de suministro de ADN sintético con protecciones contra amenazas ciberbiológicas", dice Puzis. "Para abordar estas amenazas, proponemos un algoritmo de detección mejorado que tiene en cuenta la edición de genes in vivo. Esperamos que este documento prepare el escenario para un cribado de secuencias de ADN robusto y resistente al adversario y servicios de producción de genes sintéticos reforzados por la ciberseguridad cuando las normativas locales de todo el mundo apliquen el cribado de bioseguridad".
La investigación se publicó en Nature Biotechnology: Increased cyber-biosecurity for DNA synthesis