A la CIA no le ha ido extraordinariamente bien, con filtraciones saliendo de la organización como un reguero de pólvora en los últimos años. La más famosa de estas filtraciones fue el incidente de Vault 7 donde varios documentos de la agencia salieron a la luz, revelando metodologías, herramientas y marcos de piratería avanzados que podrían comprometer una gran cantidad de dispositivos en todo el mundo.
Una nueva filtración del 22 de junio de 2017 reveló que no solo podía infectar computadoras a través de redes, sino que incluso infiltrarse en sistemas con brechas de aire a voluntad usando un par de tácticas astutas y una memoria USB.
¿Por qué querría infectar sistemas con espacios de aire?
Los espacios de aire se han utilizado durante varios años como una fuerte línea de defensa contra la infiltración exterior. A medida que las redes se vuelven más centradas en la conveniencia, se vuelven más vulnerables. Para ayudar a contrarrestar esto, algunas empresas e instituciones gubernamentales han eliminado por completo los sistemas confidenciales de sus redes, usándolos solo como almacenamiento fuera de línea al que solo puede acceder personal selecto.
Como han demostrado las nuevas filtraciones de la CIA, este es un método de protección altamente efectivo… hasta que ya no lo es.
Dado que ninguna entidad realmente quiere gastar una cantidad excesiva de recursos en el mantenimiento de los sistemas que no necesita, es una apuesta segura que los espacios de aire están llenos de datos secretos a los que no quieren que nadie acceda. Esta información generalmente consiste en secretos comerciales, estrategias militares, tecnologías no reveladas y cualquier otra cosa que sea más importante que un par de números de tarjetas de crédito.
Cómo funciona la herramienta
La herramienta de la CIA, conocido como canguro brutal, se basa en el «salto», un método de replicación en el que un virus se escribe a sí mismo junto con cualquier información relevante en una nueva plataforma. La idea aquí es infectar una computadora en red, esperar hasta que un empleado inserte una unidad USB, escribirse en la plataforma, esperar hasta que la unidad USB se inserte en una computadora con espacio de aire y luego obtener cualquier información de interés del sistema. Tan pronto como la unidad USB se vuelva a insertar en una computadora en red, el virus transmitirá la información al «controlador», permitiéndole tener una vista panorámica de todas las computadoras con espacio de aire.
Cómo prevenir el ataque
Una vez que sus sistemas han sido infectados, no hay forma de «anular el envío» de los datos que pasan. Una vez más, la prevención es clave. Recomendaría someter cada sistema en red a un procedimiento de saneamiento en el que se verifique y contabilice cada cambio (es decir, registre cada actividad en cada sistema en red, luego revise el registro justo antes de transferirlo a un sistema con espacio de aire).
Además de esto, si puede, ejecute su sistema air-gapped en algo que no sea Windows (Brutal Kangaroo solo se ejecuta en ese sistema operativo). Si es solo una base de datos lo que está almacenando y nada más, debería funcionar bien en Linux. No se deje llevar por la complacencia: Linux no es un arma mágica contra los piratas informáticos.
Minimice la cantidad de personal que puede tocar el sistema air-gapped y cifre el sistema de archivos siempre que sea posible. El espacio de aire en sí mismo es solo una de las muchas herramientas en su arsenal. Idealmente, debe usarse junto con otros procedimientos y políticas de seguridad que eviten que su organización parezca algo hecho de cáscaras de huevo.
¿Hay más cosas que las organizaciones pueden hacer para evitar la infiltración de espacios de aire? ¡Cuéntanoslo en un comentario!