Venezuela experimentó recientemente una
serie de apagones que dejaron a 11 estados del país sin electricidad. Desde el comienzo de este incidente, el gobierno de Nicholas Maduro afirmó que fue
un acto de sabotaje , que fue posible gracias a ataques electromagnéticos y ataques cibernéticos contra la compañía eléctrica nacional Corpoelec y sus plantas de energía. Por el contrario, el autoproclamado gobierno de Juan Guaidó simplemente atribuyó el incidente a "la
ineficiencia [y] el fracaso del régimen ".
Sin un análisis imparcial y profundo de la situación, es muy difícil determinar si estas interrupciones fueron el resultado del sabotaje o si, sin embargo, fueron causadas por la falta de mantenimiento. Sin embargo, las denuncias de presunto sabotaje plantean una serie de cuestiones interesantes relacionadas con la seguridad de la información. Muchos sistemas de control en instalaciones de infraestructura crítica, como las plantas de energía, están cerrados y, por lo tanto, no tienen conexiones externas a Internet. Por lo tanto, surge la pregunta: ¿podrían los ciberatacantes obtener acceso a sistemas de TI cerrados sin conectarse directamente a sus computadoras? La respuesta es si. En este caso, las ondas electromagnéticas pueden ser un vector de ataque.
Cómo "capturar" la radiación electromagnética
Todos los dispositivos electrónicos generan radiación en forma de señales electromagnéticas y acústicas. Dependiendo de una serie de factores, como la distancia y los obstáculos, los dispositivos de escucha pueden "captar" las señales de estos dispositivos utilizando antenas especiales o micrófonos altamente sensibles (en el caso de señales acústicas) y procesarlas para extraer información útil. Dichos dispositivos incluyen monitores y teclados, y como tal también pueden ser utilizados por ciberdelincuentes.
Si hablamos de monitores, en 1985, el investigador Wim van Eyck publicó el
primer documento no clasificado sobre los riesgos de seguridad que conlleva la radiación de dichos dispositivos. Como recordará, los monitores usaron tubos de rayos catódicos (TRC). Su investigación demostró que la radiación del monitor se puede "leer" a distancia y utilizar para reconstruir las imágenes que se muestran en el monitor. Este fenómeno se conoce como intercepción de Van Eyck y, de hecho, es
una de las razones por
las que varios países, incluidos Brasil y Canadá, consideran que los sistemas de votación electrónica son demasiado inseguros para su uso en procesos electorales.
Equipo utilizado para acceder a otra computadora portátil ubicada en la habitación contigua. Fuente: Universidad de Tel Aviv.Aunque los monitores LCD ahora generan mucha menos radiación que los monitores CRT,
investigaciones recientes han demostrado que también son vulnerables. Además,
expertos de la Universidad de Tel Aviv (Israel) lo han demostrado claramente . Se las arreglaron para acceder al contenido encriptado en una computadora portátil ubicada en la habitación de al lado, utilizando suficiente equipo simple por un valor de aproximadamente $ 3,000, que consiste en una antena, un amplificador y una computadora portátil con un software especial de procesamiento de señal.
Por otro lado, los teclados también pueden ser
sensibles a la intercepción de sus emisiones. Esto significa que existe un riesgo potencial de ciberataques, en el que los atacantes pueden recuperar datos de registro y contraseñas al analizar qué teclas del teclado se presionaron.
TEMPEST y EMSEC
El uso de radiación para extraer información recibió su primera aplicación durante la Primera Guerra Mundial, y se asoció con cables telefónicos. Estas técnicas fueron ampliamente utilizadas durante la Guerra Fría con dispositivos más avanzados. Por ejemplo, un
documento desclasificado de la NASA de 1973 explica cómo, en 1962, un oficial de seguridad de la Embajada de los Estados Unidos en Japón descubrió que un dipolo en un hospital cercano fue enviado al edificio de la embajada para interceptar sus señales.
Pero el concepto de TEMPEST como tal comienza a aparecer ya en los años 70 con las primeras
directivas de radiación que aparecieron en los EE .
UU . Este nombre en clave se refiere a la investigación sobre emisiones no intencionales (espurias) de dispositivos electrónicos que pueden contribuir a la filtración de información clasificada. El estándar TEMPEST fue creado
por la Agencia de Seguridad Nacional de EE. UU. (NSA) y condujo a la aparición de estándares de seguridad que también fueron
adoptados por la OTAN .
Este término a menudo se usa indistintamente con el término EMSEC (seguridad de emisión), que forma parte de los estándares
COMSEC (seguridad de la comunicación) .
Protección TEMPEST
Diagrama de arquitectura criptográfica rojo / negro para dispositivo de comunicación. Fuente: David Kleidermacher
Primero, la seguridad TEMPEST se aplica al concepto básico de criptografía, conocido como la arquitectura Rojo / Negro (rojo / negro). Este concepto divide los sistemas en equipos "rojos", que se utilizan para procesar información confidencial, y equipos "negros", que transmiten datos sin un sello de privacidad. Uno de los propósitos de la protección TEMPEST es esta separación, que separa todos los componentes, separando el equipo "rojo" de los filtros especiales "negros".
En segundo lugar, es importante tener en cuenta el hecho de que
todos los dispositivos tienen un cierto nivel de radiación . Esto significa que el nivel máximo de protección posible será la protección completa de todo el espacio, incluidas las computadoras, los sistemas y los componentes. Sin embargo, esto sería extremadamente costoso y poco práctico para la mayoría de las organizaciones. Por esta razón, se utilizan técnicas más precisas:
- Evaluación de zonificación : se utiliza para examinar el nivel de seguridad TEMPEST para espacios, instalaciones y computadoras. Después de realizar esta evaluación, los recursos se pueden dirigir a aquellos componentes y computadoras que contienen la información más confidencial o los datos no cifrados. Diversas autoridades reguladoras de comunicaciones, como la NSA en los EE. UU. O CCN en España , certifican tales técnicas.
- Áreas protegidas : una evaluación de zonificación puede mostrar que ciertos espacios que contienen computadoras no cumplen con todos los requisitos de seguridad. En tales casos, una opción es proteger completamente el espacio o usar gabinetes blindados para tales computadoras. Estos gabinetes están hechos de materiales especiales que evitan la propagación de la radiación.
- Computadoras con sus propios certificados TEMPEST : a veces la computadora puede estar en un lugar seguro, pero puede carecer de un nivel de seguridad adecuado. Para mejorar el nivel de seguridad existente, hay computadoras y sistemas de comunicación que tienen su propia certificación TEMPEST, que certifica la seguridad de su hardware y otros componentes.
TEMPEST muestra que incluso si los sistemas corporativos tienen espacios físicos prácticamente seguros o ni siquiera están conectados a comunicaciones externas, todavía no hay garantías de que sean completamente seguros. En cualquier caso, la mayoría de las vulnerabilidades en infraestructuras críticas probablemente estén relacionadas con ataques ordinarios (por ejemplo, ransomware), que informamos
recientemente . En estos casos, simplemente puede evitar tales ataques con la ayuda de medidas apropiadas y soluciones
avanzadas de seguridad de la información
con opciones de protección avanzadas . La combinación de todas estas medidas de protección es la única forma de garantizar la seguridad de los sistemas críticos para el futuro de la empresa o incluso de todo el país.