Tal vez no sepas que algunos hackers, además de hackear sistemas virtuales, también se dedican a hackear objetos del mundo real. Una de las cosas que despierta mayor interés en ellos, es sin duda, las cerraduras. Por ejemplo, en las conferencias sobre hackeos, como la DEF CON o el Chaos Communication Congress, son muy habituales los concursos dedicados a forzar cerraduras y las charlas sobre temas relacionados.
En la reciente conferencia 32C3 celebrada en Hamburgo, Eric Wustrow, profesor de la Universidad de Colorado, presentó un informe describiendo cómo usar las impresoras 3D para falsificar llaves. Siendo precisos, para falsificar las llaves de cerradura de tambor de pines, que es probablemente el sistema de cerradura más común.
Antes de que se inventaran las impresoras 3D, para hacer copias de una llave, uno tenía que dominar el arte de la metalurgia o, al menos, saber programar una máquina herramienta de control decimal numérico (CN). Además, las restricciones también incluyen la falta de disponibilidad de ciertas llaves en blanco, la necesidad de acceder físicamente a la llave que se quiere copiar, y otras limitaciones del mundo físico. Como es obvio, las impresoras 3D lo hacen todo más sencillo y económico, ya que transfieren algunos de estos problemas al plano digital.
Pero, ¿cómo puede usarse exactamente una impresora 3D para falsificar una cerradura de tambor de pines? Existen al menos tres modelos de ataque (o, como se dice en el mundo de la ciberseguridad, “vectores de ataque”) a los que este tipo de cerradura es vulnerable.
En primer lugar, está la tele duplicación de la llave. Los sensores de las cámaras actuales tienen una gran resolución, por lo que, incluso las fotos digitales de mala calidad pueden contener información más que suficiente para hacer un modelo en 3D de una llave e imprimir una réplica. Además, las lentes telescópicas actuales son tan buenas (y relativamente asequibles), que la foto podría tomarse desde distancias increíbles.
El segundo modelo de ataque es el método bumping, una técnica que utiliza una llave de golpe especialmente diseñada con cortes profundos, acompañada de un juego de manos. Al parecer, las llaves de golpe impresas en 3D en plástico podrían suponer una mejor alternativa a las de metal, ya que el plástico transmite mejor los golpes, el bumping produce menos ruido y el riesgo de dañar la cerradura es menor. Además, crear un modelo en 3D e imprimir una llave de plástico es un proceso mucho menos complejo que el metalúrgico.
La tercera opción es probablemente la más interesante: está enfocada a los sistemas de llave maestra y Wurstow la denomina “Escalada de privilegios”, ya que se asemeja a la técnica de hackeo informático que recibe el mismo nombre. El concepto básico de los sistemas de llave maestra que utilizan frecuentemente las organizaciones, se centra en hacer que una cerradura sea “compatible” con dos llaves diferentes al mismo tiempo. Para lograrlo, los fabricantes de cerraduras utilizan dos conjuntos de pasadores dentro de una cerradura. Por lo general, la llamada llave maestra es a su vez compatible con varias cerraduras, ya que uno de los conjuntos de los pasadores es idéntico.
El problema es que el conjunto de pasadores no es completamente independiente. Si los atacantes cuentan con una llave común que abre una de las cerraduras en cuestión, pueden modificar uno de sus cortes y tratar de abrir la cerradura. Si no funciona, es necesario modificar el corte de nuevo, y seguir modificándolo hasta que el “pin alternativo de la llave maestra” esté en su lugar y se abra la cerradura. Todos los otros cortes funcionan en esta puerta en particular, ya que todavía se ajustan a los pin “normales”.
De esta forma, el atacante puede modificar todos los cortes uno a uno y obtener una llave maestra que abra todas las puertas. En este caso, la impresión en 3D podría resultar especialmente útil para el atacante, ya que este escenario implica un gran número de intentos y cada uno de ellos requiere una nueva llave modificada.
Pero, ¿las llaves impresas en 3D son tan útiles en la vida real? Como muestra un estudio, no todos los materiales usados en la impresión 3D son lo suficientemente fuertes, algunos de ellos son demasiado flexibles, y algunos son demasiado frágiles. Pero sí que hay materiales adecuados para la falsificación de llaves. Es más, para los que no tienen claro si el plástico aguantaría o no, hay ciertos servicios de impresión en 3D que ofrecen la opción de imprimir sobre metales como latón, acero o incluso titanio.
No está de más mencionar que las llaves impresas en 3D no son un problema teórico. El software para la falsificación de llaves mediante tecnología de impresión en 3D ya está disponible, y también lo están las impresoras 3D. El ejemplo más claro se encuentra en la falsificación de las llaves maestras de TSA. Hace unos meses, una persona publicó en la red una imagen de las llaves de TSA e inmediatamente surgieron modelos de estas llaves impresos en 3D. Ahora, todo el mundo puede descargárselas e imprimir su propia colección de llaves para los “candados de equipaje aprobados”.
REVEALED: TSA has a master key for your luggage and people are making copies @BI_Video http://t.co/P5bod70zUK pic.twitter.com/oZ9jspPXqB
— Business Insider (@BusinessInsider) September 11, 2015
Entonces, ¿qué podemos hacer para protegernos? Probablemente, la mejor forma de afrontar este problema ciberfísico es implementando la misma estrategia que usamos para proteger los sistemas informáticos. Podemos considerar nuestras llaves como contraseñas que usamos en la vida real, y tratarlas como tales. Por lo tanto, aquí tienes algunas reglas sencillas que, aunque no pueden garantizar al 100 % la seguridad de tu cerradura, al menos retrasarán el ataque lo suficiente para hacer que el atacante desaparezca:
#tips 10 simple rules for passwords https://t.co/9csfPxhHZ8 pic.twitter.com/98UMK5RYdR
— Kaspersky (@kaspersky) December 22, 2015
- No uses “contraseñas” simples. Las cerraduras comunes de tambor de pines son bastante débiles y vulnerables, no tanto como “123456” o “john1975”, pero se acercan. Si necesitas una protección más eficaz, elige cerraduras más complejas.
- Utiliza la “verificación en dos pasos”. Dos cerraduras de diferente tipo funcionarán mejor que una sola.
- No expongas tus “contraseñas”. Mantén tus llaves alejadas de las cámaras y, obviamente, no publiques tus llaves en Internet. Hasta una foto de mala calidad podría ser suficiente para crear un duplicado de tu llave.
- Las llaves maestras son muy parecidas a las “puertas traseras” en las cerraduras de las puertas de tu organización. Evita usar este tipo de sistemas en las puertas de habitaciones o áreas importantes.
- Tampoco está de más usar una solución de seguridad: los sistemas de alarma podrán protegerte frente a robos en caso de que los atacantes consigan burlar las medidas de seguridad que hemos citado previamente.