En el mundo moderno interconectado, cada vez más actividades cotidianas dependen de la ciberseguridad. La sociedad coloca en Internet una cantidad cada vez mayor de información delicada y privada: datos de banca, comercio electrónico, telemedicina, comunicaciones móviles, computación en la nube y el Internet de las cosas.
Los piratas informáticos plantean una amenaza en constante proceso de cambio, y por ello resulta esencial que los sectores público y privado actúen de forma previsora en lo que concierne a la ciberseguridad. Para contribuir a ese propósito, a través de dos proyectos financiados con fondos europeos llamados SHARCS y PQCRYPTO se está trabajando en el desarrollo de nuevos paradigmas, arquitecturas y software de seguridad que garanticen la fiabilidad e impenetrabilidad de los sistemas de TIC.
Se buscan métodos de codificación actualizados
Hoy en día, la mayoría de la información que circula por Internet se encuentra protegida a través de algoritmos de clave pública (RSA), algoritmos discretos en campos finitos o bien curvas elípticas. En la práctica, estos sistemas suelen proporcionar una variación suficiente como para garantizar la seguridad de las comunicaciones virtuales. Pero a medida que la sociedad avance hacia el uso de grandes ordenadores cuánticos, estos sistemas dejarán de ser viables y quedarán irremediablemente obsoletos.
Hay tipos de información confidencial, como los expedientes médicos y los secretos relacionados con la seguridad nacional, que requieren un nivel de seguridad garantizado. Sin embargo, si se almacenan en un ordenador cuántico, la codificación o encriptado tipo RSA o de curva elíptica ya no brindará protección suficiente contra los piratas informáticos. Al tiempo que la Unión Europea y los gobiernos de cada país invierten grandes sumas en el desarrollo de ordenadores cuánticos, los investigadores de los proyectos SHARCS y PQCRYPTO advierten que la sociedad debe prepararse ya para las consecuencias que la era de la informática cuántica tendrá para la ciberseguridad.
Flip Feng Shui pone en evidencia los puntos vulnerables
Para ver con perspectiva la gravedad de esta amenaza, especialistas en pirateo informático asociados al proyecto pusieron en práctica una nueva técnica de ataque consistente en un «bug» (o error de software) que no está basado en software y que altera la memoria de las máquinas virtuales alojadas en la nube. Dicha técnica, denominada Flip Feng Shui (FFS), permite al atacante alquilar una máquina virtual en el mismo «host» que la víctima, lo que le permite descifrar las claves de la máquina virtual o bien instalar código malicioso pasando desapercibido. Este tipo de ataque permite al pirata visualizar y extraer datos, así como modificarlos aprovechando un fallo del hardware. En consecuencia, se puede ordenar al servidor que instale software malicioso y no deseado y que permita el acceso de usuarios no autorizados.
En un ataque empleando la técnica FFS, los investigadores consiguieron acceder a las máquinas virtuales del host trastocando las claves públicas de OpenSSH con un solo bit. En otro ataque, los investigadores ajustaron la configuración de la aplicación de gestión de software «apt» realizando cambios leves en la dirección web (URL) desde la que «apt» descarga software. Desde ahí, el servidor pudo instalar código malicioso presentado como si fuera una actualización de software.
Frenar hoy las amenazas de mañana
No hay duda de que hay que seguir trabajando para garantizar la seguridad de la información que circula por Internet. Con una sola prueba, los investigadores desmintieron la creencia generalizada de que los ataques de inversión de bit en hardware (bit flipping) tienen una potencia limitada en la práctica. Usando primitivas de FFS, los investigadores consiguieron articular un ataque de extremo a extremo de una potencia devastadora, y esto en ausencia absoluta de puntos vulnerables en el software.
Con el fin de poner freno a amenazas como FFS y otras opciones, se necesitan nuevos métodos de comprobación, certificación de hardware y adaptación de las necesidades de software. Por estos motivos, desde el proyecto SHARCS se están diseñando, construyendo y probando aplicaciones y servicios «seguros por diseño» capaces de brindar a los usuarios una seguridad de extremo a extremo. Por su parte, en el proyecto PQCRYPTO se trabaja en sistemas criptográficos que ofrezcan una seguridad suficiente no sólo ante las necesidades de hoy, sino también frente a los ataques que se puedan articular a largo plazo desde ordenadores cuánticos. Entre los dos, estos proyectos proporcionarán una cartera de sistemas de gran seguridad capaces de satisfacer las necesidades cambiantes —en cuanto a ciberseguridad— de los dispositivos móviles, la computación en la nube y el Internet de las cosas.
Para más información, consulte:
Página web del proyecto SHARCSPágina web del proyecto PQCRYPTO