Un nuevo fallo de seguridad deja expuestos los discos duros de casi todos los ordenadores

seguridad- USB

La mayoría de los firmware de seguridad tienen fallos que permiten el robo de datos, aunque estén encriptados. Esta es la conclusión a la que llega la empresa de seguridad F-Secure, que indica que casi todos los firmware de seguridad ponen a la mayoría de ordenadores (Windows y Mac) en peligro ante un nuevo tipo de ataque.

Un ataque «cold boot» permite la extracción de datos de un equipo apagado. Una empresa de seguridad ha encontrado que la mayoría de ordenadores vuelven a ser vulnerables a estos ataques

El nuevo ataque se basa en uno antiguo llamado «cold boot» o arranque en frío, que permitía el robo de datos de un ordenador apagado. Los ordenadores de hoy en día sobreescriben la memoria al apagarse para evitar este tipo de ataques, pero la vulnerabilidad encontrada en los firmware puede desactivar este borrado preventivo y permitir, de nuevo, los ataques «cold boot».

Desde F-Secure indican que, aunque requiera una serie de pasos extra, la vulnerabilidad es fácil de explotar y que sería sorprendente si la técnica no fuese conocida por algún grupo de ciberdelincuentes, argumentando que si a alguien le encargasen robar datos encriptados de un portátil «llegaría a las mismas conclusiones que nosotros».

Incluso con herramientas dedicadas para la encriptación de datos, como BitLocker o FileVault, se pudieron obtener datos de un dispositivo apagado. Cualquier cosa que esté en el disco duro es susceptible de ser sustraída con este tipo de ataque, advierten desde F-Security.

Las conclusiones de la investigación fueron compartidas con Microsoft, Apple e Intel antes de ser publicadas. Según los investigadores solo un puñado de dispositivos son inmunes a este fallo.

Microsoft, por su parte, reconociendo que este tipo de ataques necesitan de acceso físico al ordenador, recomienda extremar las precauciones si se guarda información sensible. También ha asegurado la compañía que usando un PIN con BitLocker puede disminuir el riesgo.

Juan Carlos Rubio

Periodista. Especializado en tecnología y política internacional.

Deja un comentario

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: TreceBits S.L. (TreceBits)
Finalidad: Que puedan comentar las noticias publicadas
Legitimación: Consentimiento del interesado. Satisfacción del interés legítimo del Responsable.
Destinatarios: No se cederán a terceros salvo obligación legal.
Derechos: Puedes ejercitar en cualquier momento tus derechos de acceso, rectificación, supresión, limitación, oposición y demás derechos legalmente establecidos a través del siguiente e-mail: [email protected].
Información adicional: Puedes consultar la información adicional y detallada sobre protección de datos aquí.