No digas nada: tu dispositivo puede delatarte — así los procesos físicos convierten cualquier equipo en un espía
Si tu portátil hace ruidos sospechosos, quizá solo esté susurrando tus contraseñas a los vecinos.
Una computadora puede revelar secretos sin virus ni hackeos. Basta la física. Las pulsaciones de teclas, el trabajo del procesador o las vibraciones del disco duro generan ondas de radio, sonido y vibraciones. Una persona con equipo sensible puede interceptar tales señales e intentar recuperar los datos. Precisamente por fugas de este tipo, los legisladores estadounidenses decidieron comprobar hasta qué punto los dispositivos modernos están protegidos contra las antiguas técnicas de espionaje de la época de la Guerra Fría.
El senador Ron Wyden y la representante Shontel Brown se dirigieron a la Oficina de Rendición de Cuentas de EE. UU. solicitando que se realice una investigación. Los políticos quieren determinar hasta qué punto las computadoras, los teléfonos y otra electrónica son vulnerables a los llamados canales laterales de fuga de información. Se trata de la intercepción de señales electromagnéticas o acústicas accidentales que surgen durante el funcionamiento de los dispositivos. En el pasado, la Agencia de Seguridad Nacional de EE. UU. designó estos métodos con el nombre clave TEMPEST.
En la carta, Wyden y Brown advierten que esas técnicas representan una amenaza no solo para los secretos del Estado. Servicios de inteligencia extranjeros podrían emplear estos métodos contra empresas estadounidenses para robar desarrollos tecnológicos y secretos comerciales. Los legisladores solicitaron evaluar la magnitud de la amenaza, el coste de las medidas de protección y las posibles acciones por parte del gobierno. Entre las opciones mencionan exigir a los fabricantes de electrónica que incorporen protección en el diseño de los dispositivos.
Al mismo tiempo, los legisladores encargaron a la Oficina de Investigación del Congreso de EE. UU. un informe sobre la evolución de estos métodos de vigilancia. El documento recuerda que el gobierno hace tiempo que tiene en cuenta estos riesgos y protege los sistemas secretos. Para trabajar con información clasificada se utilizan recintos aislados especiales con blindaje contra señales de radio. Esos recintos se denominan SCIF. Sin embargo, las autoridades casi no han advertido a los usuarios comunes ni han exigido a los fabricantes de electrónica de consumo que integren protección contra este tipo de fugas.
La historia del problema se remonta a los años cuarenta del siglo pasado. Entonces los ingenieros de Bell Labs notaron un efecto extraño. Las máquinas de cifrado suministradas al ejército estadounidense generaban señales electromagnéticas que se mostraban en un osciloscopio en otra parte del laboratorio. Esas señales permitían inferir el funcionamiento de los mecanismos criptográficos.
Más tarde, un documento desclasificado de la Agencia de Seguridad Nacional de EE. UU. de 1972 describía una amenaza similar. Las computadoras podían emitir energía de radiofrecuencia o acústica. Estas señales pueden propagarse a distancias considerables. Si la señal pasa por líneas de alimentación eléctrica o por tuberías de agua, el alcance puede llegar a aproximadamente media milla. El informe decía que fugas de este tipo pueden revelar claves criptográficas. Fue entonces cuando el problema recibió el nombre TEMPEST.
En los últimos años, los especialistas han mostrado numerosas formas de extraer información a través de señales colaterales. En 2015, un equipo de la Universidad de Tel Aviv demostró un dispositivo de intercepción de radio capaz de leer datos por las emisiones electromagnéticas del procesador a una distancia de varias decenas de centímetros. El coste del dispositivo era inferior a 300 dólares, y toda la electrónica cabía dentro de una pita. Ese mismo grupo mostró otro método. Los sonidos de alta frecuencia que se generan al funcionar el ordenador permitían extraer claves criptográficas. Para grabar el sonido bastaba con un teléfono móvil convencional cerca del ordenador. Sin embargo, estos ataques tienen limitaciones serias. El equipo debe colocarse cerca del objetivo y los datos obtenidos con frecuencia resultan incompletos.
Ron Wyden no especificó si la petición actual está relacionada con alguna información clasificada. El senador afirmó que el objetivo de la iniciativa es prevenir una amenaza futura. Las técnicas de vigilancia se abaratan y se vuelven más accesibles. Las empresas estadounidenses que operan en sectores estratégicamente importantes podrían convertirse en objetivos de espionaje industrial.
Muchos expertos consideran que para los usuarios comunes estos ataques siguen siendo un problema improbable. La interceptación de señales colaterales es técnicamente compleja y requiere una preparación seria. Con mayor frecuencia, estos métodos interesan a los servicios de inteligencia o a actores que buscan desarrollos tecnológicos.
La situación ha cambiado en parte debido al avance tecnológico. Los fabricantes procuran ahorrar energía en portátiles y teléfonos inteligentes, por lo que los componentes modernos consumen menos electricidad. La reducción del consumo energético también disminuye el nivel de emisiones accidentales. Empresas grandes como Apple y Google ya crean dispositivos con un nivel relativamente bajo de este tipo de fugas. La infraestructura en la nube desempeña un papel adicional. Cada vez más cálculos se realizan en centros de datos, a los que resulta mucho más difícil que acceda un observador ajeno.
Sin embargo, las nuevas tecnologías también pueden actuar en sentido contrario. Los algoritmos de aprendizaje automático ayudan a encontrar señales útiles en datos ruidosos. Ese tipo de análisis puede facilitar la decodificación de las emisiones interceptadas. Además, siguen siendo vulnerables los sistemas de control industriales y numerosos dispositivos domésticos "inteligentes", desde altavoces hasta televisores.
Los autores del informe para el Congreso de EE. UU. proponen varias opciones de respuesta. La Comisión Federal de Comunicaciones podría establecer requisitos de seguridad para el equipo de radio. La Comisión Federal de Comercio de EE. UU. puede considerar engañosas las afirmaciones de las empresas sobre la seguridad de los dispositivos si falta protección contra estos ataques. Otra opción es divulgar más información sobre los riesgos reales. Mientras las autoridades no den más detalles, solo queda conjeturar cuántos datos las computadoras y los teléfonos pueden transmitir involuntariamente "por el aire" a cualquier observador con las habilidades y el equipo adecuados.