Un ordenador deja todo tipo de huellas físicas mientras está en funcionamiento (sonidos, datos de consumo de energía, fugas electromagnéticas). Este rastro que deja la implementación física del dispositivo puede ser una vía de información sobre los procesos internos que está realizando, y es utilizado por los ciberdelincuentes para inferir datos, e incluso hacerse con claves secretas que le permitan acceder al dispositivo o los sistemas.
Estos ataques que se valen de las filtraciones de información que llegan a través del hardware de la máquina, y no de las posibles debilidades del software, son conocidos como ataques de canal lateral, y podrían asemejarse, si nos salimos del mundo de la comunicación y las nuevas tecnologías, a lo que hace un ladrón que consigue abrir una caja fuerte escuchando atentamente los sonidos que produce el mecanismo cuando gira la rueda con la que se introduce la combinación.
Por supuesto, el procedimiento para llevar a cabo un ataque de estas características es un poco más complicado que el del ejemplo de la caja fuerte, y requiere de amplios conocimientos técnicos, y capacidad para diseñar algoritmos que, a partir de los patrones de salida de información que los ordenadores emiten constantemente, sean capaces de inferir datos útiles para los ciberdelincuentes.
¿Son un verdadero peligro este tipo de ataques?
Es cierto que fuera de los círculos de expertos en seguridad informática, poco o nada se habla de este tipo de ataques informáticos, y la mayoría de los usuarios no conocen su existencia, a pesar de que no son algo nuevo. De hecho, se tienen noticias de ataques de canal lateral desde principios de los años 40 del siglo pasado, algunos de ellos protagonizados por agencias de servicios secretos. Y no han dejado de producirse en ningún momento.
Además, no son pocos los expertos que prevén un crecimiento en los ataques de canal lateral, debido a que son mucho más difíciles de detectar y pueden resultar más rentables para los ciberdelincuentes, especialmente si se realizan contra entornos en la nube, ya que un solo ataque a un servidor puede comprometer la información de varias empresas, algo que hace que la protección de la información corporativa deje de estar solo en manos de la propia organización
De momento, ya se produjo a principios de 2018 una alerta relacionada con este tipo de ataques, cuando varios grupos de investigadores anunciaros la existencia de dos vulnerabilidad, Spectre y Meltdown, que afectaban a procesadores de Intel, AMD y ARM. Consistía en un fallo en la funcionalidad de optimización del procesador conocida como ejecución especulativa, que puede ser explotada a través de ataques de canal lateral de cache, y obligó a implementar mecanismos de protección específicos.
Tipos más comunes de ataques de canal lateral
-
Ataque de canal lateral para la memoria caché de la Unidad Central de Procesamiento (CPU). La velocidad de la memoria principal del ordenador es siempre menor que la velocidad de procesamiento de la CPU. Para evitar que eso afecte a la eficiencia de trabajo del sistema, se utiliza el módulo cache, donde se almacenan datos que se han procesado recientemente y que la CPU va a necesitar en el futuro inmediato, con lo que gana velocidad en la ejecución de procesos.
Para realizar este tipo de ataques, se monitorizan y analizan los accesos a la caché, y la cantidad de tiempo que lleva completar un proceso, lo que puede llevar a descubrir algoritmos que facilitan el acceso a los datos.
-
Ataques de monitorización del consumo eléctrico: el atacante mide la cantidad de energía que consume un dispositivo cuando está realizando un procedimiento y a partir de esta información, infiere los datos que se están enviando.
-
Ataque a partir de sonidos: los ciberdelincuentes monitorizan los sonidos que realiza el dispositivo cuando está realizando diferentes procedimientos, y establecen patrones de audio que les permiten obtener información. Por ejemplo, los ciberdelincuentes pueden llegar a averiguar contraseñas analizando el sonido que realiza el teclado cuando estamos escribiendo.
-
Ataques de sincronización o de tiempo: en este caso, los ciberdelincuentes miden el tiempo que se tarda en realizar un proceso, y a través de la creación de algoritmos con los que se realizan análisis estadísticos de medición de tiempo, pueden acabar desvelando datos o claves secretas.
-
Ataque de monitorización de ondas electromagnéticas: se analiza la fuga de radiación electromagnética, y se pueden deducir, entre otra información, textos planos, claves criptográficas o los tipos de procedimientos que se están realizando.
Cómo protegernos de los ataques de canal lateral
No es fácil protegerse ante este tipo de ataques, entre otras cosas, porque no es sencillo eliminar o atenuar esas señales físicas de las que se sirven los ciberdelincuentes para realizarlos, pero se pueden poner en marcha dos tipos de medidas para reducir el riesgo:
-
Aquellas que eliminan o reducen la emisión de esos rastros físicos que se utilizan para realizar este tipo de ataques. Entre ellas la instalación de pantallas con blindaje especial para disminuir las emisiones electromagnéticas, el acondicionamiento y filtrado de la línea eléctrica puede ayudar a disuadir los ataques de monitoreo de energía, instalación de servidores en recintos físicos preparados para contrarrestar los ataques acústicos o la monitorización del consumo de energía; agregar un retraso aleatorio para disuadir los ataques de tiempo, y el uso de software de análisis de seguridad específico
-
Aquellas que hacen que la información filtrada no se pueda relacionar con los datos que se están manejando, a través de la utilización de técnicas de aleatorización del texto cifrado, o bien reduciendo las diferencias entre pulso y la aleatoriedad de los intervalos, con el fin de que las operaciones de datos estén constantemente cambiando; o la solución más utilizada y que consiste en el diseño de software para que los procesos se ejecuten en una cantidad de tiempo constante.
Por último, es fundamental mantener nuestros equipos al día y permanentemente actualizados con los últimos parches de seguridad, con los que los fabricantes también tratan de solucionar aquellas brechas de seguridad que pueden exponer un equipo a este tipo de ataques.