ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha publicado una guía que detalla los riesgos asociados a Thunderspy, una serie de vulnerabilidades encontradas en la tecnología Thunderbolt, así como las herramientas de protección existentes. Mediante Thunderspy, un atacante puede cambiar, e incluso eliminar, las medidas de seguridad provistas en la interfaz Thunderbolt de un ordenador. Como resultado de ello, un delincuente que tenga acceso físico al ordenador objetivo puede robar información incluso aunque el disco esté cifrado y la máquina se encuentre bloqueada con contraseña o suspendida en modo de ahorro de batería.
Thunderspy fue descubierto por el investigador Björn Ruytenberg en mayo de este año. “La investigación de Ruytenberg ha recibido mucha difusión por la novedad del vector de ataque utilizado, pero no se ha ahondado lo suficiente en cómo protegerse de esta vulnerabilidad y ni siquiera se ha hablado de cómo saber si una máquina ha sido atacada”, apunta Aryeh Goretsky, investigador destacado de ESET.
El investigador de ESET explica que los ataques basados en Thunderbolt son escasos porque están dirigidos a unos objetivos muy concretos debido a su propia naturaleza. “El hecho de que un usuario típico no sea el objetivo de este tipo de ataques no significa que no deba estar al tanto de lo que sucede, porque nadie está seguro. De hecho, para muchos, seguir algunas de las recomendaciones que realizamos, por extrañas que parezcan, tiene todo el sentido”, comenta Goretsky.
Existen dos tipos de ataques contra la seguridad sobre la que se asienta Thunderbolt para mantener la integridad de un equipo. El primero de ellos es la clonación de identidades de los dispositivos Thunderbolt que son de confianza y que ya están aceptadas por el ordenador. El segundo consiste en la desactivación permanente de la seguridad de Thunderbolt de manera que no pueda volver a ponerse en marcha. “El ataque de clonado es similar a cuando un ladrón roba una llave y hace una copia. Después puede utilizar la llave copiada para abrir la cerradura siempre que quiera. El segundo ataque es una forma de bloquear un chip. En este caso, la desactivación de los niveles de seguridad no puede ser deshecha”, explica Goretsky.
