- Gran empresa /
- Innovación /
- Autónomos /
Un asesino en serie cuyo modus operandi incluye seleccionar a sus victimas a partir de direcciones que consigue al azar, sufre un terrible accidente en su coche de camino a la casa de una de sus potenciales víctimas. Cuando llega a la sala de emergencias es introducido en una máquina de resonancia magnética y, muy oportunamente, una tormenta eléctrica ocasiona un fallo eléctrico que termina traspasando el alma del asesino a un ordenador.
Este interesantísimo argumento podría tratarse de una película serie B cualquiera que entraría dentro cualquier top de “películas tan malas que son buenas”, pero no es eso. Se trata de Ghost in the Machine, película que la 20th Century Fox lanzó en 1993 con bombos y platillos al mercado internacional, pero que fue un fracaso de crítica y taquilla.
Si apartamos el debate sobre lo efectivo que podría ser un asesino ejecutando sus crímenes mediante ordenadores en los noventa, la trama de esta película nos revela un principio básico dentro de la seguridad informática que aún hoy conserva validez: un ordenador no puede robarse las almas de las personas, pero sí el alma de otros ordenadores.
Dementores digitales
No tenemos que ser Bill Gates para saber que todo dispositivo electrónico emite radiaciones y emanaciones en forma de señales electromagnéticas y acústicas. En la práctica significa que, si tienes el equipo adecuado, esas señales pueden ser tomadas e interpretadas para que te puedas hacer con la información de ese dispositivo, así este no quiera compartirla. Ordenadores robando el alma de ordenadores.
Esto no es algo nuevo, ya que desde 1985 un investigador llamad Wim van Eck logró probar que los monitores de la época emitían una radiación que podía ser captada a la distancia para procesarse y poder mostrar lo que estaba proyectando.
Aunque los monitores LCD de ahora emiten menos radiación, una reciente investigación de la Universidad de Tel Aviv logró demostrar que también son vulnerables. Con un equipo bastante básico valorado en tres mil dólares que consistía en una antena, un amplificador y un laptop con software para procesar señales, lograron acceder a la información cifrada de un ordenador desde una sala adyacente.
Hasta los teclados son vulnerables, ya que también son sensibles a la interceptación de datos dejando libre el camino para averiguar contraseñas o credenciales de usuario mediante análisis de las teclas presionadas. Esta brecha de seguridad es el motivo por el que muchos países se han negado a establecer métodos electrónicos de votación, debido al riesgo de inseguridad que implican.
Si aún faltan motivos para convencerte de que este tema debería ser de tu interés, aquí te va otro toque de realidad: el gobierno de Venezuela culpa a los ataques electromagnéticos y otros ciberataques como los principales culpables de los apagones que sufrió el país suramericano en el 2019.
Zonifícate
Toda empresa cuenta con dispositivos electrónicos que emiten radiaciones y señales electromagnéticas, así que, si aún no lo has hecho, es mejor que tomes medidas cuanto antes para evitar posibles filtraciones de seguridad. Como siempre, Padawan, te tenemos soluciones al alcance de tu mano que no incluirán la obligación de verte una película serie B o llamar al gobierno de Venezuela.
Primero debes entender TEMPEST. Estas son medidas de protección tomadas a partir de los estudios realizados para todos los equipos susceptibles de interceptación electromagnética. Empezó a ser utilizado por la NSA en Estados Unidos en los años 70, y posteriormente fue asimilado y ejecutado por la OTAN como medida de protección y seguridad digital, aplicados por la Unión Europea.
TEMPEST está en constante evolución, como la tecnología misma. Actualmente aplica un concepto de criptografía básica en donde separa la información trasmitida como Red/Black (red: información sensible sin cifrar; black: información ya cifrada). La protección TEMPEST segrega toda la información en todos sus componentes.
Dado que blindar totalmente a todos los equipos de una organización resultaría muy costoso y poco práctico, hay una forma de optimizar recursos y garantizar la protección de la información de acuerdo con su grado de confidencialidad: la zonificación de los equipos, o ZONING.
Esta una evaluación que busca separar y ubicar tus dispositivos con información sensible por zonas, de acuerdo con diferentes criterios como el espacio, los otros dispositivos que los rodean y están conectados a él, las personas que pueden estar cerca de él, y por supuesto, el nivel de confidencialidad de los datos que se almacenan allí dentro.
La evaluación también busca sacar el mejor provecho a los recursos y el espacio con el que cuenta la organización, siempre teniendo en cuenta el factor costo-beneficio que implica. Además, que la normativa actual en España obliga a toda empresa a zonificar aquellos dispositivos que contengan información clasificada como confidencial o superior.
¿Cómo zonificar?
El ZONING de tu equipo se podrá clasificar en Zona 1 o Zona 2, que va en línea con la clasificación recomendada por la OTAN y por la UE, pero además existe una Zona 3 que se da solo dentro de España. Vale aclarar que los equipos sometidos a una evaluación zoning no tienen por qué cumplir otros requisitos de seguridad, como Common Criteria o ITSEC.
La evaluación de zonificación la realiza el CCN (Centro Criptológico Nacional), la entidad del estado español encargada de determinar los lineamientos de ciberseguridad. Al mismo tiempo, el CCN entrega un catalogo de equipos electrónicos que ya cuentan con una clasificación por zonas, pero esto busca ser más bien un material orientativo al momento de planificar el hardware de tu empresa. Nunca conectes un equipo clasificado ZONING a un cifrador sin consultar primero a la autoridad TEMPEST del CCN.
Como puedes ver, esto ya no se trata solamente de un acto de voluntad, sino que ya es una parte crítica del trabajo de cualquier encargado de tecnología e informática de una organización. A riesgo de dejar expuesta la información de tu empresa, entra aquí y consulta el catalogo actualizado de Zoning de equipos informáticos, y obtén más información sobre cómo contactar al CCN para que realice la evaluación apropiada
Escrito por: BBB
Nada fuera de lo anormal, como tú, vamos. ;)
Suscríbete al #Blog
Al suscribirte te enviaremos un boletín cada semana con la información más relevante. Tendrás acceso a contenidos exclusivos para suscriptores
