¿Qué es el ataque de una “sirvienta malvada” y qué nos enseña?

Una sirvienta ordenando una cama en una habitación de hotel.

Aseguró su computadora con un sólido software de seguridad y cifrado de disco. Es seguro, siempre que lo mantenga a la vista. Pero, una vez que un atacante tiene acceso físico a su computadora, todas las apuestas están canceladas. Conoce el ataque de la “doncella malvada”.

¿Qué es un ataque de “Evil Maid”?

A menudo se repite en ciberseguridad: una vez que un atacante tiene acceso físico a su dispositivo informático, todas las apuestas están canceladas. El ataque de la “sirvienta malvada” es un ejemplo, y no solo teórico, de cómo un atacante podría acceder y comprometer un dispositivo desatendido. Piense en la «doncella malvada» como una espía.

Cuando las personas viajan por negocios o por placer, a menudo dejan sus computadoras portátiles en las habitaciones de los hoteles. Ahora, ¿qué pasaría si hubiera una «sirvienta malvada» trabajando en el hotel, una persona de limpieza (o alguien disfrazado de persona de limpieza) que, en el curso de su limpieza normal de la habitación del hotel, usó su acceso físico al dispositivo para modificarlo y comprometerlo?

Ahora bien, esto probablemente no es algo de lo que deba preocuparse la persona promedio. Pero es una preocupación para los objetivos de alto valor, como los empleados gubernamentales que viajan internacionalmente o los ejecutivos preocupados por el espionaje industrial.

No es solo «Evil Maids»

Un portátil sentado en la mesa de una sala de conferencias.

El término ataque de la “sirvienta malvada” fue acuñado por primera vez por la investigadora de seguridad informática Joanna Rutkowska en 2009. El concepto de una sirvienta “malvada” con acceso a una habitación de hotel está diseñado para ilustrar el problema. Pero un ataque de «sirvienta malvada» puede referirse a cualquier situación en la que su dispositivo deja su vista y un atacante tiene acceso físico a él. Por ejemplo:

  • Solicita un dispositivo en línea. Durante el proceso de envío, alguien con acceso al paquete abre la caja y compromete el dispositivo.
  • Los agentes fronterizos en una frontera internacional llevan su computadora portátil, teléfono inteligente o tableta a otra habitación y la devuelven un poco más tarde.
  • Los agentes del orden llevan su dispositivo a otra habitación y lo devuelven más tarde.
  • Usted es un ejecutivo de alto nivel y deja su computadora portátil u otro dispositivo en una oficina a la que otras personas podrían tener acceso.
  • En una conferencia de seguridad informática, deja su computadora portátil desatendida en una habitación de hotel.

Hay innumerables ejemplos, pero la combinación de teclas es siempre que ha dejado su dispositivo desatendido, fuera de su vista, donde otra persona tiene acceso a él.

¿Quién debe preocuparse realmente?

Seamos realistas aquí: los ataques de Evil Maid no son como muchos problemas de seguridad informática. No son una preocupación para la persona promedio.

El ransomware y otro malware se propaga como la pólvora de un dispositivo a otro a través de la red. En contraste, un ataque de sirvienta malvada requiere que una persona real se desvíe de su camino para comprometer su dispositivo específicamente, en persona. Esto es un espionaje.

Desde una perspectiva práctica, los ataques de las criadas malvadas son una preocupación para los políticos que viajan internacionalmente, ejecutivos de alto nivel, multimillonarios, periodistas y otros objetivos valiosos.

Por ejemplo, en 2008, los funcionarios chinos pueden haber accedió en secreto al contenido de la computadora portátil de un funcionario estadounidense durante las negociaciones comerciales en Beijing. El funcionario dejó su computadora portátil desatendida. Como dice la historia de Associated Press de 2008, “Algunos exfuncionarios de Comercio le dijeron a AP que tenían cuidado de llevar dispositivos electrónicos con ellos en todo momento durante los viajes a China”.

Desde una perspectiva teórica, los ataques de las criadas malvadas son una forma útil de pensar y resumir una clase completamente nueva de ataque para que los profesionales de la seguridad se defiendan.

en otras palabras: probablemente no tenga que preocuparse de que alguien ponga en peligro sus dispositivos informáticos en un ataque dirigido cuando los deje fuera de su vista. Sin embargo, alguien como Jeff Bezos definitivamente debe preocuparse por esto.

¿Cómo funciona un ataque de sirvienta malvada?

Una computadora portátil sentada en un escritorio en una habitación de hotel.

Un ataque de sirvienta malvada se basa en modificar un dispositivo de forma indetectable. Al acuñar el término, Rutkowska demostró un ataque comprometiendo el cifrado del disco del sistema TrueCrypt.

Creó un software que se podía colocar en una unidad USB de arranque. Todo lo que un atacante tendría que hacer es insertar la unidad USB en una computadora apagada, encenderla, arrancar desde la unidad USB y esperar aproximadamente un minuto. El software arrancaría y modificaría el software TrueCrypt para registrar la contraseña en el disco.

El objetivo luego regresaría a su habitación de hotel, encendería la computadora portátil e ingresaría su contraseña. Ahora, la criada malvada podría regresar y robar la computadora portátil; el software comprometido habría guardado la contraseña de descifrado en el disco y la criada malvada podría acceder al contenido de la computadora portátil.

Este ejemplo, que demuestra la modificación del software de un dispositivo, es solo un enfoque. Un ataque de maid maid también podría implicar abrir físicamente una computadora portátil, computadora de escritorio o teléfono inteligente, modificar su hardware interno y luego volver a cerrarlo.

Los ataques de las criadas malvadas ni siquiera tienen que ser tan complicados. Por ejemplo, digamos que una persona que realiza la limpieza (o alguien que se hace pasar por una persona que hace la limpieza) tiene acceso a la oficina de un CEO en una empresa de Fortune 500. Suponiendo que el CEO usa una computadora de escritorio, la persona de limpieza «malvada» podría instalar un registrador de teclas de hardware entre el teclado y la computadora. Luego podrían regresar unos días después, tomar el registrador de teclas de hardware y ver todo lo que el CEO escribió mientras se instaló el registrador de teclas y grabar las pulsaciones de teclas.

El dispositivo en sí ni siquiera tiene que estar comprometido: digamos que un CEO usa un modelo específico de computadora portátil y deja esa computadora portátil en una habitación de hotel. Una criada malvada accede a la habitación del hotel, reemplaza la computadora portátil del CEO por una computadora portátil que se ve idéntica ejecutando software comprometido y se va. Cuando el CEO enciende la computadora portátil e ingresa su contraseña de cifrado, el software comprometido «llama a casa» y transmite la contraseña de cifrado a la malvada criada.

Qué nos enseña sobre la seguridad informática

Un ataque de sirvienta malvada realmente resalta lo peligroso que es el acceso físico a sus dispositivos. Si un atacante tiene acceso físico sin supervisión a un dispositivo que usted deja desatendido, es poco lo que puede hacer para protegerse.

En el caso del ataque inicial de la criada malvada, Rutkowska demostró que incluso alguien que seguía las reglas básicas de habilitar el cifrado de disco y apagar su dispositivo cada vez que lo dejaba solo era vulnerable.

En otras palabras, una vez que un atacante tiene acceso físico a su dispositivo fuera de su vista, todas las apuestas están canceladas.

¿Cómo puede protegerse contra los ataques de las criadas malvadas?

Una caja fuerte en la habitación del hotel.

Como hemos señalado, la mayoría de la gente realmente no necesita preocuparse por este tipo de ataque.

Para protegerse contra los ataques de las criadas malvadas, la solución más eficaz es simplemente mantener un dispositivo bajo vigilancia y asegurarse de que nadie tenga acceso físico a él. Cuando los líderes de los países más poderosos del mundo viajan, puede apostar a que no dejan sus computadoras portátiles y teléfonos inteligentes tirados sin supervisión en las habitaciones de los hoteles, donde podrían verse comprometidos por el servicio de inteligencia de otro país.

Un dispositivo también puede colocarse en una caja fuerte cerrada con llave u otro tipo de caja de seguridad para garantizar que un atacante no pueda acceder al dispositivo en sí, aunque alguien puede abrir la cerradura. Por ejemplo, aunque muchas habitaciones de hotel tienen caja fuerte incorporada, los empleados del hotel generalmente tienen llaves maestras.

Los dispositivos modernos se están volviendo más resistentes a algunos tipos de ataques de criadas malvadas. Por ejemplo, Secure Boot asegura que los dispositivos normalmente no arrancarán unidades USB que no sean de confianza. Sin embargo, es imposible protegerse contra todo tipo de ataque de sirvienta malvada.

Un atacante decidido con acceso físico podrá encontrar la manera.

Siempre que escribimos sobre seguridad informática, nos resulta útil volver a visitar un cómic clásico de xkcd sobre seguridad.

Un ataque de sirvienta malvada es un tipo sofisticado de ataque con el que es poco probable que la persona promedio se enfrente. A menos que sea un objetivo de alto valor que probablemente sea el objetivo de agencias de inteligencia o espionaje corporativo, hay muchas otras amenazas digitales de las que preocuparse, incluido el ransomware y otros ataques automatizados.

Artículos Recientes

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Ir arriba