McAfee, Inc. ha publicado un estudio sobre cuánta conciencia tienen las empresas de los riesgos asociados a la seguridad de los ordenadores. Dicho informe pone de manifiesto que casi la mitad de las organizaciones no cuenta con defensas fiables contra tales riesgos, o no tienen ningún conocimiento sobre ellos. Solo el 20% tiene confianza en las medidas de seguridad de TI que han adoptado.

A pesar de que este año ha aparecido una gran cantidad de programas que analizan la seguridad de las redes corporativas y verifican si cumplen con la normativa, no han recibido gran aceptación. Los usuarios corporativos prefieren soluciones integradas a productos muy especializados.

Dado que la legislación ha cambiado, la necesidad de cumplir con las políticas de seguridad es un tema de preocupación para el 75% de las empresas, y se han impuesto multas al 10%. La mayor fuente de problemas han sido las bases de datos que contienen información personal, por lo que han sido objeto de la mayor atención.

“Las organizaciones están cada vez más presionadas para que protejan la información y la privacidad de sus clientes, así como la  información confidencial sobre su propio negocio, lo que ha conducido a la necesidad de prestar gran atención a los riesgos y al cumplimiento de la normativa. Como muestran los resultados de este estudio, las empresas reconocen que deben mejorar la gestión del riesgo identificando mejor las amenazas, las vulnerabilidades y las contramedidas, así como mejorar el grado de cumplimiento de las políticas mediante controles tecnológicos más automatizados”,

afirmó Stuart McClure, Vicepresidente Primero de McAfee.

Se sabe desde hace mucho tiempo que la información de los ordenadores puede robarse de distintas formas, incluidas algunas muy fáciles de usar.

Un delincuente puede obtener información accediendo remotamente a un ordenador y descargando lo que desee, o instalar software o hardware que registra las pulsaciones de las teclas, infectarlo con un virus, capturar datos utilizando un  sniffer o simplemente robar el ordenador.

Sin embargo, la tecnología evoluciona: regularmente se publica información sobre nuevos métodos para capturar datos.

Por ejemplo, el año pasado se probó con éxito (el margen de error fue inferior al 5%) una tecnología para recuperar textos introducidos por los usuarios utilizando el teclado, con un grabador del ruido que el mismo teclado produce. Significa que un sencillo dictáfono, un dispositivo de escucha o un micrófono direccional pueden capturar información.

Otro medio de fuga proviene de las emanaciones de piezas de los ordenadores, incluido el teclado (con cable, inalámbrico o el de los portátiles).  Capturando y analizando estas emanaciones es posible recuperar todo el texto introducido por los usuarios.

Hace mucho tiempo que se estudian las emanaciones. Normalmente se llaman “emanaciones de riesgo” o TEMPEST.

Se han desarrollado y probado con éxito (y aparentemente se han utilizado en alguna ocasión) distintas formas de capturar TEMPEST.

El método más evidente es capturar las emisiones de radio en una frecuencia determinada. Utilizando un equipo especial, la distancia de captura es de 20 metros e incluso funciona a través de las paredes. Para capturar datos dentro de un mismo edificio, todo lo que se necesita es un receptor de FM manual y un ordenador con una tarjeta de sonido buena.

La École Polytechnique Fédérale de Lausanne ha llevado a cabo un experimento que demuestra que este método se ha puesto en práctica, pues la totalidad de los 11 diferentes teclados estudiados fueron vulnerables a capturas TEMPEST.

En la conferencia sobre seguridad Black Hat USA 2009 se presentó otro medio de captura utilizando la red eléctrica. El cable de los teclados carece de protección y por tanto emite un impulso al neutro que llega hasta el neutro de la red eléctrica, posibilitando así utilizar el método conocido como “explotación de la red eléctrica”.

Si un ordenador portátil no está conectado a la red (0 hay demasiados conectados), se puede utilizar otro método de captura: se dirige un láser hacia el portátil, un receptor captura el haz reflejado y se registran las modulaciones causadas por las vibraciones que se producen al presionar las teclas.

Desde hace poco tiempo, hay cada vez más rumores sobre tecnologías para capturar no solo los datos procedentes del teclado, si no también del monitor.

Es muy difícil protegerse de estos métodos. Es posible utilizar distintos generadores de ruido como defensa activa, y, como defensa pasiva, proteger las piezas de los ordenadores o los edificios completos.