Un equipo de investigadores de la Universidad Carlos III de Madrid (UC3M) y del Consejo Superior de Investigaciones Científicas (CSIC) están trabajando en una herramienta que permite analizar si los teléfonos móviles pueden sufrir ataques cibernéticos para obtener las claves de cifrado a través de sus emisiones electromagnéticas. Se trata de una plataforma que quiere mejorar la seguridad de los teléfonos móviles y otros dispositivos electrónicos que utilicen técnicas de cifrado, se ha presentado recientemente en Canadá en un congreso internacional centrado en la seguridad y privacidad del Internet de las Cosas (Workshop on Security and Privacy on Internet of Things).
El proyecto se centra en los conocidos como ataques de canal lateral, que ocurren cuando »se intenta aprovechar una circunstancia (en este caso, que cualquier corriente eléctrica produce un campo magnético) para un beneficio ilícito (por ejemplo, si el atacante intenta extraer la clave privada de cifrado, a la que en teoría no debería tener acceso)», tal como ha explicado uno de los investigadores, José María de Fuentes, a través de la Agencia Sinc.
Hace años era habitual atacar el algoritmo de cifrado, es decir, el procedimiento para proteger la información, que normalmente tiene una base matemática compleja. Sin embargo, estos últimos años se han ido desarrollando ataques de canal lateral para buscar otras formas de violar la seguridad sin tener que romper la matemática que la sustenta. Cuando los dispositivos están en funcionamiento hacen uso de la energía y generan emisiones electromagnéticas. Por ello, estos investigadores capturan sus trazas para obtener de ahí la clave de cifrado y, a su vez, el descifrado de los datos, tal como ellos mismos han indicado.
analizar emisiones electromagnéticas para combatir vulnerabilidades
»Queremos poner de manifiesto si este tipo de dispositivos tienen vulnerabilidades, porque si son atacables por algún adversario, es decir, si alguien calcula la clave que estás utilizando en tu teléfono móvil, serás vulnerable y tus datos dejarán de ser privados», han señalado desde el equipo de científicos del CSIC.
El objetivo fundamental de esta investigación es detectar y dar a conocer cuáles son las vulnerabilidades que tienen los dispositivos electrónicos o los chips que contienen y, así, tanto los desarrolladores de software como de hardware puedan implementar las contramedidas oportunas para proteger la seguridad de los usuarios. Después, los investigadores deberán verificar si esa labor se ha llevado a cabo correctamente e intentar atacar de nuevo para comprobar si existen otro tipo de vulnerabilidades.
Lo más relevante de este proyecto, según los investigadores, es que están desarrollando una arquitectura y un entorno de trabajo donde seguir explorando este tipo de ataques de canal lateral. De hecho, existe la posibilidad de extraer información de cifrado a partir de otros datos, como las variaciones de temperatura del dispositivo, el consumo de potencia o el tiempo que tarda un chip en procesar un cálculo.
Esta investigación se ha realizado en el marco de CIBERDINE (Cybersecurity: Data, Information, Risks), un programa de I+D+i cuyo principal objetivo es desarrollar herramientas tecnológicas que permitan conseguir que el ciberespacio sea un entorno más seguro y confiable para las administraciones públicas, los ciudadanos y las empresas. Para ello, se trabaja en tres grandes líneas de investigación: el análisis masivo de redes de datos, la ciberseguridad cooperativa y los sistemas de ayuda para la toma de decisiones en este área.