Investigadores han descubierto un método para robar datos de un ordenador desconectado de la red, usando la luz de actividad del ordenador.

Todo el mundo sabe que un ordenador conectado a Internet tiene el potencial de ser hackeado; no importa el sistema que use o los programas anti-malware que tenga instalados.

Por eso, cuando una empresa, gobierno u organización tiene que asegurarse de la seguridad de sus datos, el primer paso es desconectar el servidor de Internet. No solo eso, sino que el sistema tampoco debería pertenecer a una red interna en la que alguno de los ordenadores esté conectado a Internet.

Air Gap, cuando un ordenador está aislado por seguridad

Toda precaución es poca cuando se trata con datos potencialmente comprometidos; o con ordenadores que cumplen funciones críticas y peligrosas.

Es lo que se conoce como “air gap”; una medida de seguridad extrema por la que el acceso al ordenador está fuertemente controlado. Normalmente solo puede ser accedido en persona o a través de una red aislada del resto.

Por lo tanto, el atacante que quiera obtener los datos sólo tendría la opción de infiltrarse en el edificio. Sin embargo, con el tiempo se ha descubierto que “air gap” no es tan seguro como parecía; y que en efecto es posible conseguir datos sin necesidad de ir en persona.

Las memorias USB con malware son un método, pero el último desarrollo salido de la Universidad Ben-Gurión de Israel nos demuestra que se puede ir más allá.

Cómo han conseguido robar datos de un ordenador desconectado

Los investigadores han demostrado que es posible robar los datos de un ordenador desconectado de la red capturando las luces de actividad; sí, hablo de esas luces presentes en las cajas de casi todos los ordenadores. En concreto, la luz que han podido explotar es el indicador de lectura del disco duro; es la que tiene el indicador “HDD” en tu caja.

Normalmente, esa luz se enciende cuando el sistema está leyendo o escribiendo en nuestro disco duro (o SSD). Sin embargo, los investigadores descubrieron que, si lograban instalar su malware en el ordenador (por una memoria USB infectada, por ejemplo), podían controlar esa luz para enviar mensajes, como si fuera código morse.

Enviar datos a través de pulsos de luz suena muy lento, y de hecho lo es; por eso intentaron maximizar la cantidad de datos que podían enviar cada segundo. Descubrieron que si el malware leía menos de 4 KB de datos del disco duro, el indicador de HDD del ordenador se encendía sólo durante una quinta parte de un milisegundo.

De esta forma, consiguieron que el ordenador infectado transmitiese los datos que tenía guardados apagando y encendiendo la luz; la tasa de transferencia que consiguieron fue de 4.000 bits por segundo, unos 0,5 KB/s. Por lo tanto, sólo para conseguir un megabyte sería necesario observar esta luz durante media hora.

Drones que capturan tus datos sin conectarse a tu red

Parece una tasa de transferencia ridícula, pero hay que tener en cuenta que es prácticamente indetectable; todo el mundo ya está acostumbrado a que la luz del disco duro parpadee mientras trabaja. Incluso si no estamos haciendo nada, el sistema operativo puede estar realizando tareas en segundo plano y encender la luz. Esto daría a un atacante el tiempo suficiente para obtener todos los datos que le interesen.

De hecho, la mayor dificultad del método es capturar esos mensajes luminosos. La cámara de un smartphone normal funciona a 60 frames por segundo; por lo que sólo sería capaz de capturar 60 bits por segundo. Pero usando sensores profesionales (y más caros), consiguieron capturar todos los 4.000 bits por segundo.

En una demostración de su método, los investigadores montaron esta cámara en un dron; e hicieron que volase a la altura de la ventana del piso en el que estaba el ordenador infectado.

Este es sólo el último ejemplo del nivel al que están llegando los robos de datos. Hasta algo tan inocente como un indicador puede servir para un atacante.