Cómo evitar los ataques de evil-maid

Protege tu ordenador corporativo del acceso físico no autorizado.

El ataque de evil-maid es el tipo de ataque más primitivo que existe, pero también es uno de los más desagradables. Aprovechando los dispositivos desatendidos, este ataque “evil maid“, traducido al español como “criada malvada”, intenta robar información secreta o instalar spyware o herramientas de acceso remoto para obtener acceso a la red corporativa. A continuación, te indicamos cómo protegerte de las acciones de los intrusos.

Ejemplo clásico

En diciembre del 2007, una delegación del Departamento de Comercio de Estados Unidos viajó a Beijing para llegar a un acuerdo sobre una estrategia conjunta contra la ciberdelincuencia. Sin embargo, a su regreso a Estados Unidos, el portátil del secretario de comercio contenía un spyware cuya instalación habría requerido acceso físico al ordenador. El propietario del portátil afirmó haber tenido el dispositivo con él en todo momento durante las negociaciones y que solo lo había abandonado en su habitación del hotel para cenar abajo, eso sí, guardándolo en la caja fuerte.

En teoría, un auténtico especialista puede comprometer un dispositivo en un período de 3 a 4 minutos, siempre que el ordenador se deje desatendido y desbloqueado (o mientras que no esté protegido con contraseña). Pero incluso con las medidas de seguridad básicas implementadas, un ataque de evil-maid todavía tendría posibilidades.

Cómo obtienen el acceso a la información los atacantes

Existen muchas formas de acceder a información crítica, dependiendo de la antigüedad del ordenador y del software de seguridad. Por ejemplo, las máquinas más antiguas que no son compatibles con el Secure Boot se pueden arrancar desde unidades externas, por lo que quedan indefensas ante los ataques de evil-maid. Los PC actuales sí tienen el arranque seguro activado de forma predeterminada.

Los puertos de comunicación que admiten el intercambio rápido de datos o la interacción directa con la memoria del dispositivo pueden servir como sifones para extraer secretos personales o corporativos. Thunderbolt, por ejemplo, logra su alta velocidad de transmisión de datos a través del acceso directo a la memoria, lo que abre la puerta a los ataques de evil-maid.

La primavera pasada, el experto en seguridad informática Björn Ruytenberg compartió una forma que había encontrado para hackear cualquier dispositivo Windows o Linux con Thunderbolt, incluso uno bloqueado y con la opción de conexión de dispositivos desconocidos a través de puertos externos deshabilitada. El método de Ruytenberg, denominado Thunderspy, asume el acceso físico al dispositivo e implica reescribir el firmware del controlador.

Thunderspy requiere que el atacante reprograme el chip Thunderbolt con su versión del firmware. Este nuevo firmware desactiva la protección incorporada y el atacante obtiene el control total sobre el dispositivo.

En teoría, la política Protección de DMA de Kernel corrige la vulnerabilidad, pero no todo el mundo la usa (y aquellos con versiones de Windows anteriores a la 10 directamente no pueden). Sin embargo, Intel anunció una solución al problema: Thunderbolt 4.

El conocido USB también puede servir como canal de ataque. Un dispositivo en miniatura, insertado en un puerto USB, se activa cuando el usuario enciende el ordenador y ejecuta el ataque BadUSB.

Si la información que buscan es particularmente valiosa, los ciberdelincuentes podrían incluso intentar la difícil y costosa tarea de robar el dispositivo y reemplazarlo por uno similar que ya contenga spyware. Evidentemente, la suplantación se revelará lo suficientemente pronto, pero lo más probable es que no suceda hasta que la víctima introduzca su contraseña. Afortunadamente, como dijimos, desconectar ese interruptor resulta difícil y costoso.

Cómo minimizar los riesgos

La forma más fácil y confiable de protegerse contra los ataques de evil-maid es mantener tu dispositivo donde solo tú puedas acceder a él. Por ejemplo, no lo dejes en una habitación de hotel si puedes evitarlo. Sin embargo, si tus empleados tienen que realizar viajes de negocios con ordenadores portátiles del trabajo, aquí te dejamos algunos pasos que pueden tomar para mitigar los riesgos:

  • Dar ordenadores portátiles temporales sin acceso a sistemas corporativos críticos o datos de trabajo. Y, después de cada viaje, formatear el disco duro y reinstalar el sistema operativo.
  • Exigir a los empleados que apaguen los portátiles del trabajo que dejen desatendidos.
  • Cifrar los discos duros de cualquier ordenador que salga del edificio de oficinas.
  • Utilizar soluciones de seguridad que bloqueen el tráfico saliente sospechoso.
  • Asegurarse de que la solución de seguridad detecte ataques BadUSB (como Kaspersky Endpoint Security for Business).
  • Actualizar todo el software, especialmente el sistema operativo, de forma oportuna.
  • Restringir el acceso directo a la memoria del dispositivo a través de los puertos FireWire, Thunderbolt, PCI y PCI Express en todos los dispositivos que lo permitan.
Consejos