{"id":20706,"date":"2020-12-11T07:33:42","date_gmt":"2020-12-11T13:33:42","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20706"},"modified":"2020-12-11T07:33:42","modified_gmt":"2020-12-11T13:33:42","slug":"evil-maid-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/evil-maid-attack\/20706\/","title":{"rendered":"Aprende a evitar los ataques de evil-maid"},"content":{"rendered":"

El ataque de evil-maid<\/em><\/a> es el tipo de ataque m\u00e1s primitivo que existe, pero tambi\u00e9n es uno de los m\u00e1s desagradables. Aprovechando los dispositivos desatendidos, esta \u201cevil maid\u201d, traducido al espa\u00f1ol como \u201cmucama malvada\u201d, intenta robar informaci\u00f3n secreta o instalar spyware<\/em> o herramientas de acceso remoto para obtener acceso a la red corporativa. A continuaci\u00f3n, te indicamos c\u00f3mo protegerte de las acciones de los intrusos.<\/p>\n

\u00a0<\/p>\n

Ejemplo cl\u00e1sico<\/h2>\n

En diciembre del 2007, una delegaci\u00f3n del Departamento de Comercio de Estados Unidos viaj\u00f3 a Beijing para llegar a un acuerdo sobre una estrategia conjunta contra el cibercrimen. Sin embargo, a su regreso a Estados Unidos, la laptop<\/em> del secretario de comercio conten\u00eda un spyware<\/em><\/a> cuya instalaci\u00f3n habr\u00eda requerido acceso f\u00edsico a la computadora. El propietario de la laptop<\/em> afirm\u00f3 haber tenido el dispositivo con \u00e9l en todo momento durante las negociaciones y que solo lo hab\u00eda abandonado en su habitaci\u00f3n del hotel para cenar abajo, eso s\u00ed, guard\u00e1ndolo en la caja fuerte.<\/p>\n

En teor\u00eda, un aut\u00e9ntico especialista puede comprometer un dispositivo en un per\u00edodo de 3 a 4 minutos, siempre que la laptop<\/em> se deje descuidada y desbloqueada (o mientras que no est\u00e9 protegido con contrase\u00f1a). Pero incluso con las medidas de seguridad b\u00e1sicas implementadas, un ataque de evil-maid<\/em> todav\u00eda tendr\u00eda posibilidades.<\/p>\n

<\/h2>\n

C\u00f3mo obtienen el acceso a la informaci\u00f3n los atacantes<\/h2>\n

Existen muchas formas de acceder a informaci\u00f3n cr\u00edtica, dependiendo de la antig\u00fcedad de la computadora y del software<\/em> de seguridad. Por ejemplo, las m\u00e1quinas m\u00e1s antiguas que no son compatibles con el Secure Boot se pueden arrancar desde unidades externas, por lo que quedan indefensas ante los ataques de evil-maid<\/em>. Las PC actuales s\u00ed tienen el arranque seguro activado de forma predeterminada.<\/p>\n

Los puertos de comunicaci\u00f3n que admiten el intercambio r\u00e1pido de datos o la interacci\u00f3n directa con la memoria del dispositivo pueden servir como sifones para extraer secretos personales o corporativos. Thunderbolt, por ejemplo, logra su alta velocidad de transmisi\u00f3n de datos a trav\u00e9s del acceso directo a la memoria, lo que abre la puerta a los ataques de evil-maid<\/em>.<\/p>\n

La primavera pasada, el experto en seguridad inform\u00e1tica Bj\u00f6rn Ruytenberg comparti\u00f3 una forma que hab\u00eda encontrado para hackear<\/em> cualquier dispositivo Windows o Linux<\/a> con Thunderbolt, incluso uno bloqueado y con la opci\u00f3n de conexi\u00f3n de dispositivos desconocidos a trav\u00e9s de puertos externos deshabilitada. El m\u00e9todo de Ruytenberg, denominado Thunderspy, asume el acceso f\u00edsico al dispositivo e implica reescribir el firmware<\/em> del controlador.<\/p>\n

Thunderspy requiere que el atacante reprograme el chip Thunderbolt con su versi\u00f3n del firmware<\/em>. Este nuevo firmware<\/em> desactiva la protecci\u00f3n incorporada y el atacante obtiene el control total sobre el dispositivo.<\/p>\n

En teor\u00eda, la pol\u00edtica Protecci\u00f3n de DMA de Kernel corrige la vulnerabilidad, pero no todo el mundo la usa (y aquellos con versiones de Windows anteriores a la 10 directamente no pueden). Sin embargo, Intel anunci\u00f3 una soluci\u00f3n al problema: Thunderbolt 4.<\/p>\n

El conocido USB tambi\u00e9n puede servir como canal de ataque. Un dispositivo en miniatura, insertado en un puerto USB, se activa cuando el usuario enciende la computadora y ejecuta el ataque BadUSB.<\/p>\n

Si la informaci\u00f3n que buscan es particularmente valiosa, los cibercriminales podr\u00edan incluso intentar la dif\u00edcil y costosa tarea de robar el dispositivo y reemplazarlo por uno similar que ya contenga spyware<\/em>. Evidentemente, la suplantaci\u00f3n se revelar\u00e1 lo suficientemente pronto, pero lo m\u00e1s probable es que no suceda hasta que la v\u00edctima introduzca su contrase\u00f1a. Afortunadamente, como dijimos, desconectar ese interruptor resulta dif\u00edcil y costoso.<\/p>\n

<\/h2>\n

C\u00f3mo minimizar los riesgos<\/h2>\n

La forma m\u00e1s f\u00e1cil y confiable de protegerse contra los ataques de evil-maid<\/em> es mantener tu dispositivo donde solo tu puedas acceder \u00e9l. Por ejemplo, no lo dejes en una habitaci\u00f3n de hotel si puedes evitarlo. Sin embargo, si tus empleados tienen que realizar viajes de negocios con computadoras laptop<\/em> del trabajo, aqu\u00ed te dejamos con algunos pasos que pueden tomar para mitigar los riesgos:<\/p>\n