Tal y como hablábamos en otra ocasión, uno de los métodos a los que se suele recurrir para proteger información sensible es el denominado air gapping, que no es otra cosa que tener el equipo informático desconectado de cualquier red, sea local o sea Internet. Como vimos, es considerado uno de los métodos más seguros, pero tampoco lo es al cien por cien, ya que existen formas de extraer la información más o menos sofisticadas, como vamos a ver a continuación.

Según han descubierto un grupo de investigadores de la universidad Ben-Gurion de Israel, es posible recurrir a cualquier dispositivo conectado a un equipo por medio del puerto USB para extraer información sin necesidad de modificaciones de hardware en dicho dispositivo, el cual transmitiría los datos a través de radio frecuencia. Este sistema ha sido bautizado como USBee.

A diferencia del método usado por la NSA conocido como CottonMouth, que se divulgó en las filtraciones realizadas por Edward Snowden, aquí no estamos hablando de una memoria USB modificada, insisto. Así lo describen los investigadores en el artículo (PDF) que publicaron al respecto: «Presentamos un método sólo de software para la extracción de corto alcance de datos utilizando las emisiones electromagnéticas de un dispositivo USB. A diferencia de otros métodos, este no requiere ningún hardware para transmitir, ya que utiliza el bus de datos interno de la USB».

Ya que la parte determinante del ataque se realiza por medio de software, es necesario que previamente la máquina de la que se robarán los datos tenga instalado el malware que se aprovecha del USB. Otro requisito es que haya algún dispositivo conectado al puerto USB, pues será el medio por el cual el malware realice la transmisión de datos a través de señales electromagnéticas. Dado que esta transmisión es de corto alcance, también será necesario que el atacante esté situado en las cercanías del equipo comprometido, a un máximo de entre 3 y 5 metros de él.

De acuerdo a Mordechai Guri, uno de los investigadores, el USBee envía datos al dispositivo conectado al puerto de una manera que puede generar emisiones detectables situadas entre las frecuencias de 240MHz y 480MHz. Alternando entre la escritura de ceros y unos, los atacantes pueden generar una onda portadora de información a partir de los cambios rápidos de tensión y codificar en ella datos que sean útiles.

La velocidad a la que se transmite la información es de 80 bytes por segundo. Dado que estamos hablando de que el robo es de datos binarios, no es posible obtener archivos muy grandes, pero lo que sí se puede conseguir son claves, contraseñas y pequeñas porciones de datos sensibles que estén almacenados en el equipo objetivo.

El alcance que ofrece este malware varía en función del dispositivo conectado al USB. Por ejemplo, cuando se realiza la transmisión empleando una simple memoria, el alcance al que se llega es de casi tres metros; pero cuando se usa un dispositivo conectado al computador por un cable, el alcance llega hasta casi los ocho metros ya que se usa el cable como antena.

Usar este malware para robar información no es que sea sencillo, desde luego. No se limita a infectar la máquina y listo, sino se hace necesaria una logística mayor para conseguir que el robo sea efectivo. Pero no por ello resulta imposible imaginar un escenario en el que esto se pueda conseguir. La existencia de este método prueba, una vez más, que aunque el air gapping es una forma segura de proteger una máquina, no ofrece una garantía completa y absoluta de que no se pueda extraer su información.