Air-Fi: otra vía para el robo de datos desde un ordenador aislado

Unos investigadores israelíes han hallado que los ordenadores no necesitan necesariamente un módulo wifi para transmitir información mediante wifi.

Para mantener la información secreta a salvo de los atacantes, las organizaciones la depositan en dispositivos que no están conectados a una red local, y mucho menos a Internet. Se trata de los ordenadores air gap, es decir, aislados físicamente. Pero, por seguros que parezcan, infectar una de estos equipos o un segmento de la red local no es tan difícil en realidad (recordemos la historia de Stuxnet). Extraer la información obtenida es mucho más difícil.

Aquí es donde entran en escena todo tipo de métodos inteligentes y Mordechai Guri, un investigador en la Universidad Ben-Gurión del Néguev, es todo un especialista en encontrarlos. Desde luego, el Dr. Guri no es el único, pero en los últimos años ha participado en el hallazgo de una docena de estos métodos.

Un nuevo estudio describe incluso otro método para extraer información de un ordenador aislado, esta vez mediante la tecnología wifi (de ahí el nombre Air-Fi).

Cómo funciona el Air-Fi

 La belleza del Air-Fi es que funciona incluso aunque el ordenador objetivo no esté equipado con wifi. Para ello, se basa en el malware ya implantado en el dispositivo que puede utilizar el bus de memoria DDR SDRAM para generar radiación electromagnética en una frecuencia de 2,4 GHz. El malware puede codificar la información necesaria en variaciones de esta radiación, y cualquier dispositivo con un receptor wifi, incluido cualquier dispositivo comprometido, puede detectar e interceptar las señales generadas. Ese otro dispositivo podría ser un smartphone o incluso una bombilla inteligente.

El método Air-Fi resulta especialmente peligroso desde una perspectiva de ciberseguridad. No requiere de los derechos de administrador en el ordenador aislado; basta con una cuenta de usuario común. Además, el uso de máquinas virtuales (VM por sus siglas en inglés) no otorga protección, ya que estas tienen tienen acceso a los módulos de memoria.

Velocidad y rango de transmisión de datos

 Los investigadores transmiten la información sin distorsiones notorias en un rango de 2 a 3 metros (y en un caso, hasta 8 metros) y con una velocidad de hasta 100 bits por segundo, dependiendo del hardware del ordenador infectado y el tipo de receptor. Y, como la mayoría de los métodos, no es muy rápido. Para transferir un archivo de 20 MB, se necesitarían 446 horas, por ejemplo. Dicho esto, la letra de la canción “Blanca Navidad” de 1,300 bytes, se transferiría en 90 segundos. Bajo esta perspectiva, el robo del nombre de usuario y contraseña mediante esta técnica parece totalmente realista.

Cómo combatir el Air-Fi

El Air-Fi involucra el uso de emisiones electromagnéticas. Puedes contrarrestar esta estrategia con las siguientes medidas:

  • No permitas por ningún motivo que haya dispositivos conectados a wifi cerca de los sistemas aislados.
  • Vigila los sistemas aislados y busca procesos sospechosos.
  • Protege el ordenador mediante una jaula de Faraday.
  • Prohíbe dentro de la empresa el uso de dispositivos externos, incluidos los teléfonos más antiguos, como los de botones.

Esta última estrategia es la más radical, pero también la más eficaz.

Al igual que con otros métodos similares, el Air-Fi es para los ciberdelincuentes un método lento y difícil de usar para ataques cotidianos. Sin embargo, puede ser de interés para espías industriales y figuras de estado por su capacidad para funcionar sin derechos de administrador. Para más información acerca de este método, te recomendamos que leas el informe completo aquí (en inglés).

Consejos