Björn Ruytenberg, investigador de la Universidad de Tecnología de Eindhoven, Holanda, ha descubierto siete vulnerabilidades en los puertos Thunderbolt que pueden ser explotado para atacar cualquier equipo Windows o Linux (macOS no está afectado) fabricado antes de 2019 y sin dejar rastro, si bien necesita acceso físico al dispositivo.

La técnica, a la que ha llamado Thunderspy, puede saltarse la pantallla de bloqueo e incluso la encriptación en cuestión de minutos. En algunos casos, eso sí, necesitaría retirar la carcasa de la computadora con un destornillador, por lo que no es tan sencillo realizar el ataque sin levantar sospechas.

El problema está en que tras acceder al equipo, no quedarían pruebas del ataque y, además, no hay una forma de solucionar el fallo mediante software. Por lo tanto, la única forma de protegerse sería desactivar el puerto o no abandonar nunca el equipo.

"Si tu computadora tiene uno de estos puertos, un atacante que tenga acceso a él brevemente puede leer y copiar todos tus datos, incluso si el disco está cifrado y tu equipo está bloqueado", explica en su página web.

Las computadoras portátiles de Apple usan Thunderbolt.

Además, a diferencia de los ataques de phishing o malware, no necesita la ayuda del usuario para descargar un programa malicioso o seguir un enlace. Sentido común, contraseñas, bloqueos y cifrado -las medidas recomendadas por los expertos en seguridad- no pueden hacer nada contra Thunderspy. "Todo lo que necesita el atacante son cinco minutos con el ordenador, un destornillador y un hardware fácil de transportar", advirtió el investigador.

Para saber si un equipo está afectado por la vulnerabilidad es posible descargar un programa desarrollado por estos investigadores o, sencillamente, fijarse en el puerto USB-C o MiniDisplay: si tiene el logo de Thunderbolt (un rayo), el equipo está expuesto a un ataque mediante Thuderspy. Si es posterior a 2019, eso sí, podría soportar protección Kernel DMA que mitigaría el alcance de un posible ataque.

El alerta se conoció en el contexto de amenazas múltiples por la expansión del teletrabajo a consecuencia de la pandemia del coronavirus.

Medidas de protección

El investigador plantea dos escenarios para protegerse. En el más estricto recomienda directamente dejar de utilizar Thunderbolt y desactivar el puerto (en principio, explican, podría usarse para cargar, pero no para el resto de funciones).

En el caso de no poder -o no querer- renunciar al puerto, la recomendación es conectar únicamente nuestros propios periféricos y nunca dejárselos a otra persona (podría sustituirlos o modificarlos), no dejar nunca el equipo desatendido si está encendido (incluso si se bloquea la pantalla con contraseña) y tampoco dejar de prestar atención a los periféricos. Lo más seguro será apagarlo o dejarlo hibernando.

Thunderbolt se identifica por el logo del rayo.

Qué es Thunderbolt

Esta tecnología, desarrollada por Intel y Apple, que ya la ha lanzado en muchos de sus dispositivos, está presente en equipos portátiles y de escritorio.Thunderbolt es aproximadamente 20 veces más rápido transfiriendo datos que el USB 2.0. En el caso del USB 3.0, que actualmente se está comenzando a extender, Thunderbolt es el doble de rápido. Los USB son vías de ataques por parte de la delincuencia informática. 

Entre las empresas que adoptaron esta tecnología, Sony ha sido una de las primeras en posicionarse. También Asus en las portátiles de gama alta, así como Gigabyte que adoptó esta tecnología a sus placas base y de este modo aumentar su competitividad frente a Asus y ASRock.

Reacciones y recomendaciones

Desde Intel informaron a iProfesional que "este ataque no se pudo demostrar con éxito en los sistemas con protección Kernel DMA habilitada". "Alentamos a todos a seguir buenas prácticas de seguridad, incluida la prevención del acceso físico no autorizado a las computadoras", recomendaron desde el primer fabricante mundial de procesadores informáticos.

Martin Hron, investigador senior de seguridad de la empresa Avast, señaló ante iProfesional que "este es un ejemplo típico de cuán pobre es la seguridad del firmware hoy en día". 

"La mayoría de los sistemas informáticos carecen de seguridad y validación adecuadas a nivel de firmware, y la mayoría de las soluciones de seguridad no tienen visibilidad del nivel privilegiado en el que se ejecuta este código. Esto podría ser un problema grave, ya que la mayoría de las vulnerabilidades y los ataques a este nivel pasan desapercibidos y en silencio sin que el sistema operativo lo note. Sin embargo, para ejecutar este ataque, un atacante necesitaría reemplazar el firmware en un controlador Thunderbolt, para reducir las medidas de seguridad integradas. Esto podría hacerse engañando a un usuario para que instale una actualización de firmware falsa u obteniendo acceso físico a la computadora. Este ataque permite el acceso a la memoria física de una máquina, por lo que no solo las máquinas Windows se ven afectadas, sino que cualquier sistema operativo es vulnerable", agregó.

Para Hron, "el problema más preocupante aquí es el hecho de que esto podría, como con cualquier otro ataque de firmware, ejecutarse como parte de un ataque a la cadena de suministro, donde una parte adversaria puede suministrar computadoras portátiles a una empresa con una vulnerabilidad preexistente que luego podría ser aprovechada para obtener acceso no autorizado a la empresa. Este tipo de ataques ya existen desde hace algún tiempo. Del mismo modo, un ataque podría llevarse a cabo a través de una interfaz anterior llamada FireWire. El denominador común es que todas estas interfaces de alta velocidad permiten DMA (acceso directo a memoria) a la memoria de una computadora. Los usuarios habituales deben tomar las precauciones básicas, como deshabilitar el controlador Thunderbolt en el BIOS cuando no está en uso y siempre vigilar la laptop cuando viajan, pero es muy poco probable que veamos un ataque a gran escala debido a la prerrequisitos complejos. Este tipo de vulnerabilidad es más adecuada para ataques altamente dirigidos".

"Esta es una vulnerabilidad que para ser explotada necesita acceso físico a la computadora. El escaneo de huellas digitales, las contraseñas o incluso el cifrado del disco duro son inútiles en este caso particular. Deshabilitar el puerto Thunderbolt del BIOS cerrará la puerta a este ataque, esto es algo que todos los usuarios deberían hacer, especialmente cuando la computadora se deja en un lugar donde otras personas puedan tener acceso (habitaciones de hotel, etc.)", concluyó Hron.