Björn Ruytenberg, investigador de la Universidad de Tecnología de Eindhoven, ha revelado un nuevo fallo de seguridad en los puertos Thunderbolt que permite hackear millones de ordenadores, sobrepasar su pantalla de bloqueo sin introducir la contraseña y acceder a la información que estos almacenan. El ataque ha sido bautizado como Thunderspy.
El hackeo requiere acceso físico a la máquina, pero, según el investigador, el proceso se puede completar en apenas cinco minutos. “Todo lo que el atacante necesita es retirar la placa posterior, conectar un dispositivo momentáneamente, reprogramar el firmware, volver a poner la placa posterior”, ha explicado Ruytenberg a la revista WIRED.
Qué ordenadores son vulnerables a Thunderspy y cómo protegerlos
Thunderspy afecta, en mayor o menor medida, a todos los ordenadores con un puerto Thunderbolt vendidos desde 2011. No obstante, hay algunos matices a considerar:
- Ciertos modelos con Windows o Linux vendidos a partir de 2019 incluyen la protección Kernel DMA de Intel. Si esta está activa, la máquina solo es parcialmente vulnerable.
- La mayoría de ordenadores de Apple anunciados a partir de 2011 incluyen puertos Thunderbolt. Si el equipo ejecuta macOS, Ruytenberg asegura que la máquina solo es parcialmente vulnerable. Si, en cambio, el Mac ejecuta Windows o Linux (mediante Boot Camp), las medidas de seguridad en torno a los puertos Thunderbolt quedan desactivadas y la máquina es completamente vulnerable.
Para comprobar si un ordenador es susceptible al ataque, los investigadores han lanzado la herramienta Spycheck. Esta es compatible, por el momento, con Windows y Linux.
El investigador detrás de Thunderspy asegura que, si un ordenador no tiene la protección Kernel DMA, este será siempre vulnerable. Ruytenberg asegura que el problema no se puede solventar con una simple actualización de software. “Básicamente, tendrán que hacer un rediseño del silicio”, ha explicado a WIRED.
La única forma de proteger por completo un ordenador vulnerable a Thunderspy, según Ruytenberg, es tomando las siguientes precauciones:
- Conectar únicamente periféricos Thunderbolt de confianza.
- No dejar el ordenador encendido, bloqueado o en reposo sin la supervisión del propietario en entornos que no son de confianza. Si el ordenador no está apagado por completo, un hacker con acceso físico a la máquina podría, en cuestión de minutos, ejecutar el ataque Thunderspy y sobrepasar la pantalla de bloqueo del sistema operativo. La única forma de proteger la máquina, por lo tanto, es apagarla por completo.
- Desactivar los puertos Thunderbolt en la BIOS de la máquina (si es posible).
No afecta a USB-C
La tecnología Thunderbolt, desarrollada por Intel, permite, haciendo uso de un mismo conector (Mini DisplayPort en el caso de Thunderbolt 1 y 2, USB-C en el caso de Thunderbolt 3), transferir datos a una altísima velocidad, impulsar pantallas externas de elevada resolución y proporcionar corriente a otros dispositivos, entre otras cosas.
Pese a que Thunderbolt 3 y USB-C van de la mano, estos términos no son exactamente lo mismo. USB-C es, simplemente, el conector, mientras que Thunderbolt 3 es una tecnología que se apoya sobre dicho puerto. Un ordenador con USB-C, por lo tanto, puede no ser compatible con Thunderbolt 3 –véase la primera generación del MacBook de 12 pulgadas–. En ese caso, Thunderspy no afectaría a la máquina.
Las diferentes generaciones de la tecnología Thunderbolt han estado presentes en múltiples productos de Apple durante la última década. No obstante, esta no es la única compañía que hace uso de la misma. En la actualidad es posible encontrar infinidad de equipos de diferentes fabricantes compatibles con esta tecnología.