¿Pueden los cibercriminales burlar el aislamiento físico?

A veces Internet significa problemas. Por esta razón, una de las formas más radicales de proteger un ordenador que almacena información extremadamente valiosa o que controla un proceso crítico es no conectarlo nunca a Internet, o al menos no conectarlo a ninguna red, aunque sea local. Este tipo de aislamiento físico se conoce como air gap.

Si no hay conexión, no hay problema, ¿verdad? Desafortunadamente, eso no es del todo cierto; hay otras formas astutas de filtrar los datos, incluso desde un dispositivo aislado físicamente. Un grupo de investigadores dirigido por Mordechai Guri en la Universidad Ben-Gurion, Israel, está especializado en dichos métodos de robo de datos. Explicamos sus hallazgos y si tienes (o tenemos) motivos para preocuparnos.

Cómo burlar el air gap

Los sistemas aislados físicamente también son vulnerables, pero eso no es ninguna noticia; ya que aún siguen siendo posibles los ataques a la cadena de suministro o el soborno a los trabajadores. Por ejemplo, el más sencillo de los ataques utiliza una unidad USB: así es como empezó el legendario Stuxnet.

Sí, el ordenador se verá infectado; pero ¿cómo se pueden filtrar los datos sin conexión a Internet?

Aquí es donde el ingenio se junta con la física. Un ordenador puede estar aislado físicamente y no transmitir señales a través de redes, pero sigue generando calor, campos magnéticos y ruidos. Es a través de esos canales no tan evidentes como alguien consigue extraer la información.

Ultrasonidos

Incluso un ordenador sin altavoces o equipo de audio es capaz de emitir sonidos dentro de un rango de 20 Hz–24 KHz (si, por ejemplo, cambias la frecuencia de la fuente de alimentación). Además, incluso un dispositivo sin micrófonos aislados podría espiar, ya que los altavoces o auriculares pueden manipularse para desempeñar ese papel. Una fracción significativa del rango mencionado anteriormente (18 KHz–24 KHz, para ser exactos) está fuera de los límites de la audición humana; una cualidad que se pude usar de varias formas interesantes. En casa, por ejemplo, mediante ese rango se puede activar un altavoz inteligente sin que el humano se percate.

Y, lo que es más importante en este caso, alguien podría infectar un ordenador con malware que cifrara la información objetivo y la transmitiera mediante ultrasonidos. Por su parte, otro dispositivo infectado cercano podría recoger la señal (por ejemplo, un smartphone) y transmitirla al mundo exterior. Otros métodos que los investigadores han descubierto aprovechan los sonidos del ventilador y los discos duros de los ordenadores.

Electromagnetismo

No te olvides del clásico electromagnetismo. Una corriente eléctrica crea un campo electromagnético que puede captarse y convertirse nuevamente en una señal eléctrica. Si controlas la corriente, puedes controlar este campo. Con estos conocimientos, los atacantes pueden utilizar malware para enviar una secuencia de señales a la pantalla y transformar el cable del monitor en un tipo de antena. Al manipular el número y la frecuencia de los bytes enviados, pueden inducir emisiones de radio perceptibles por un receptor FM. Y eso, damas y caballeros, es el modus operandi que hay detrás de AirHopper.

Otro método utiliza el malware GSMem para aprovechar las emisiones del bus de la memoria del ordenador. Al igual que con AirHopper, el malware envía una serie de ceros y unos a lo largo del bus, lo que provoca variaciones en su radiación electromagnética. Alguien podría codificar la información de estas variaciones y recopilarlas mediante un teléfono móvil que funcione en la banda de frecuencia de GSM, UMTS o de LTE; incluso con un teléfono sin radio FM integrada.

El principio general está claro: casi cualquier componente del ordenador podría funcionar como antena. Otra investigación incluye métodos para la transmisión de datos mediante la radiación del bus del USB, la interfaz GPIO y los cables de alimentación.

Magnetismo

Una función particular de los métodos basados en el magnetismo consiste en que en algunos casos se puede incluso trabajar en una jaula de Faraday, la cual bloquea la radiación electromagnética, por lo que este modo se considera una protección muy fiable.

El uso del magnetismo para la filtración aprovecha la radiación magnética de alta frecuencia que los CPU generan y que traspasan la carcasa metálica. Esa radiación, por ejemplo, es básicamente el motivo por el que un compás funciona dentro de una jaula de Faraday. Los investigadores hallaron que, al manipular la carga en los núcleos de un procesador a través del software, podían controlar su radiación magnética. Simplemente tenían que colocar un dispositivo receptor cerca de la jaula; el equipo de Guri registró un radio de acción de 1,5 metros. Para recibir la información, los investigadores utilizaron un sensor magnético conectado al puerto serial de un ordenador cercano.

Óptica

Todos los ordenadores, incluso los que están aislados físicamente, tienen luces LED y, al controlar el parpadeo, de nuevo mediante malware, un atacante puede extraer los secretos de un equipo aislado.

Estos datos se pueden recopilar mediante el ataque a una cámara de vigilancia en la habitación. Así es cómo funcionan LED-it-GO y xLED, por ejemplo. En cuanto a aIR-Jumper, bueno, las cámaras pueden funcionar como mecanismos tanto de infiltración como de filtración; son capaces de emitir y recibir radiación infrarroja, invisible para el ojo humano.

Termodinámica

Otro canal inesperado para la transmisión de datos de un sistema aislado es el calor. El aire dentro de un ordenador se calienta por el CPU, la tarjeta gráfica, el disco duro y el resto de los dispositivos periféricos (sería más fácil enumerar las partes que no generan calor). Los ordenadores también tienen sensores de temperatura incorporados para asegurarse de que nada se caliente demasiado.

Si el malware instruye a un ordenador aislado físicamente para que altere la temperatura, un segundo equipo (online) puede registrar los cambios, convertirlos en información inteligible y enviarla. Para que los ordenadores puedan comunicarse entre ellos mediante señales térmicas, deben estar a corta distancia; separados por no más de 40 centímetros. Un ejemplo de este método es BitWhisper.

Ondas sísmicas

La vibración es el último tipo de radiación para la transmisión de datos que analizaron los investigadores. El malware manipula de nuevo la velocidad de los ventiladores del ordenador, pero en este caso, codifica la información objetivo en vibraciones, no sonidos. Una aplicación de acelerómetro en un smartphone, ubicado en la misma superficie que el ordenador, intercepta las ondas.

La desventaja de este método es la baja velocidad para la transferencia de datos fiables: cerca de 0,5 bps. Por lo tanto, la transferencia de apenas unos kilobytes puede llevar un par de días. Sin embargo, si el atacante no tiene prisa, el método es perfectamente factible.

¿Es hora de preocuparse?

En primer lugar, tenemos buenas noticias: los métodos para el robo de datos que acabamos de enumerar son muy complejos, por lo que es muy poco probable que alguien los use para cotillear tus finanzas o dar con tu base de datos de clientes. Sin embargo, si los datos con los que trabajas pueden resultar de interés para las agencias de inteligencia extranjeras o para los espías industriales, al menos debes estar al tanto del peligro.

Cómo mantenerse protegido

Una forma simple pero eficaz de prevenir el robo de información clasificada es prohibir todos los dispositivos ajenos en las instalaciones de la empresa, incluyendo cualquier clase de teléfono móvil. Si no puedes o si piensas añadir medidas de seguridad adicionales, deberías tener en cuenta lo siguiente:

• Separa las instalaciones que alberguen ordenadores aislados físicamente y mantén una distancia entre los dispositivos (como el distanciamiento social, pero en el mundo de la tecnología).
• Blinda las instalaciones o coloca el ordenador dentro de una jaula de Faraday (no obstante, consulta la sección anterior sobre el magnetismo).
• Mide la radiación magnética del ordenador y vigila las anomalías.
• Limita o prohíbe el uso de altavoces.
• Desactiva todo el equipo de audio del ordenador.
• Crea una interferencia de sonido en las instalaciones donde se encuentre el ordenador aislado físicamente.
• Limita la funcionalidad infrarroja de las cámaras de vigilancia (lo que, desafortunadamente, reduce su eficacia en la oscuridad).
• Reduce la visibilidad de las luces LED (coloca una cinta encima, desconecta y desmonta).
• Desactiva los puertos USB en el ordenador aislado físicamente para evitar una infección.

Además, los investigadores observaron que, en casi todos los casos, cuanto mejor era la protección a nivel de software, mejor era el nivel de aislamiento. Es decir, asegúrate de instalar soluciones de seguridad de confianza que detecten toda actividad maliciosa. Si un equipo aislado se utiliza para las tareas estándares (una situación bastante común en el caso de los ordenadores aislados físicamente), cambia el sistema de protección al modo de denegación predeterminada, lo que bloquea automáticamente la ejecución de programas o procesos inesperados.