Cualquier ordenador fabricado antes de 2019 con esta conexión, en peligro

Cuando pensamos en un malware o una vulnerabilidad, pensamos que el fallo puede estar en algún elementos de software, como una vulnerabilidad presente en el sistema operativo. Sin embargo, un grupo de investigadores acaba de encontrar una vulnerabilidad en uno de los mejores y más versátiles conectores del mercado.

Hablamos de Thunderbolt, la interfaz de Intel que utiliza USB Tipo C como conector en su versión más reciente, y del que tanto ha dado que habla Apple al incluir como único puerto en sus portátiles. Actualmente hay millones de ordenadores que lo utilizan, y todos los fabricados antes de 2019 son vulnerables a un ataque llamado Thunderspy.

Thunderspy: casi cualquier ordenador con Thunderbolt 3 es inseguro

Así lo ha bautizado el investigador Björn Ruytenberg, de la Universidad Técnica de Eindhoven, donde ordenadores con Windows o Linux anteriores a 2019 (y muchos posteriores) tienen una vulnerabilidad que permite saltarse la pantalla de login de un ordenador, e incluso el cifrado del disco duro para tener acceso a los datos.

El ataque requiere utilizar un destornillador para acceder al interior del ordenador para conectar un dispositivo temporalmente y modificar el firmware, pero tiene la ventaja de que no deja rastro, y puede usarse para ordenadores que queden desatendidos durante un rato (en un hotel, por ejemplo) o para ordenadores robados. Tan sólo hace falta un programador SPI con un chip SOP8, conectarlos al controlador, y ya reescribir toda la memoria. En este vídeo se ve todo el proceso.

Y no hay una manera fácil de solucionarlo mediante software más allá de desactivar el puerto Thunderbolt al completo. La seguridad de Thunderbolt de Intel lleva ya un tiempo en entredicho, ya que para ofrecer mejores velocidades también requiere un acceso más directo a la memoria del ordenador que otros puertos. Si eso se une a una vulnerabilidad, se tiene una combinación perfecta.

Otros ataques en el pasado, como Thunderclap, permitían saltarse todas las medidas de seguridad del conector, el cual sí podía solucionarse configurarse desactivando la conexión de dispositivos desconocidos, o desactivando el conector convirtiéndolo en un simple USB o DisplayPort. El problema es que Thunderspy permite incluso saltarse esas protecciones al modificar el firmware encargado de gestionar el puerto, y forzando a que permita conectar cualquier dispositivo.

Hay una protección desde 2019, pero casi nadie la incluye

Desde 2019, Intel creó un mecanismo de protección llamado Kernel Direct Memory Access Protection, el cual evita el ataque. El problema es que, incluso tras haberlo lanzado en 2019, no es obligatorio incluirlo y muchos fabricantes de ordenadores y periféricos no lo hacen. Por ejemplo, ningún ordenador de Dell lo tiene, ni siquiera los lanzados en 2020. Sólo unos pocos de HP y Lenovo cuentan con la protección. Los ordenadores de Apple con macOS no están afectados. Para comprobar si tu ordenador es vulnerable, Björn ha lanzado una herramienta en la web.

El equipamiento necesario para realizar el hackeo cuesta unos 600 dólares entre el SPI y el periférico para conectar al puerto Thunderbolt. Sin embargo, afirma que agencias como la NSA o el FBI, con apenas 10.000 dólares, no tendrán ningún problema en miniaturizarlo y lanzar un dispositivo portátil que puedan llevar encima sin levantar sospecha.

También puede aprovecharse el ataque sin desmontar el ordenador

El investigador también ha revelado otra forma más fácil de llevar a cabo el ataque, pero requiere tener un periférico Thunderbolt que haya sido conectado en el ordenador de la víctima. Al conectarlo, se asocia una una clave de 64 bits, la cual luego se introduce en el dispositivo de hackeo, y permite saltarse igualmente la pantalla de login de Windows. Esto puede ser útil si se consigue conectar un pendrive con Thunderbolt a un portátil momentáneamente, no teniendo ni siquiera que desmontarlo.

Por tanto, la única manera de protegerse ante este ataque es desactivar el puerto Thundebolt desde la BIOS del ordenador si tu ordenador está entre los afectados.