La mejora de la seguridad de los dispositivos electrónicos, con los smartphones a la cabeza, sigue siendo uno de los mayores quebraderos de cabeza tanto para usuarios como para investigadores. Por eso, un equipo de la la Universidad Carlos III de Madrid (UC3M) y del Consejo Superior de Investigaciones Científicas (CSIC) está trabajando en el desarrollo de una herramienta que permite analizar si los teléfonos móviles pueden sufrir ataques cibernéticos para obtener las claves de cifrado a través de sus emisiones electromagnéticas.
La plataforma, cuyo objetivo es mejorar la seguridad de los teléfonos móviles y otros dispositivos electrónicos que utilicen técnicas de cifrado, se ha presentado recientemente en Canadá en el marco del congreso ‘Workshop on Security and Privacy on Internet of Things’, centrado en la seguridad y privacidad del Internet de las Cosas. En concreto, según ha explicado uno de los investigadores del proyecto, José María de Fuentes, se centra en los conocidos como ‘ataques de canal lateral’. Éstos, ocurren cuando “se intenta aprovechar una circunstancia (en este caso, que cualquier corriente eléctrica produce un campo magnético) para un beneficio ilícito (en este caso, el atacante intenta extraer la clave privada de cifrado, a la que en teoría no debería tener acceso)”.
Anteriormente, los ataques se dirigían contra el algoritmo de cifrado, que es el procedimiento para proteger la información, que normalmente tiene una base matemática compleja. Sin embargo, hace tiempo que los atacantes han desarrollado los ataques de canal lateral, en los que se viola la seguridad del smarphone sin ‘romper’ la matemática que la sustenta. “Cuando los dispositivos están en funcionamiento hacen uso de la energía y generan campos electromagnéticos. Nosotros intentamos capturar sus trazas para obtener de ahí la clave de cifrado y, a su vez, el descifrado de los datos”, ha destacado Lorena González, investigadora de la UC3M.
Detectar vulnerabilidades
El fin último de esta herramienta es “poner de manifiesto si este tipo de dispositivos tienen vulnerabilidades, porque si son atacables por algún adversario, es decir, si alguien calcula la clave que estás utilizando en tu teléfono móvil, serás vulnerable y tus datos dejarán de ser privados”, ha subrayado Luis Hernández Encinas, del CSIC.
De esta forma, dando a conocer los puntos débiles de los smartphones y los chips que contienen toda su información, se puede ayudar a los desarrolladores a mejorar las medidas para proteger la seguridad de los usuarios. “Nuestra labor a continuación será verificar si eso se ha llevado a cabo correctamente e intentar atacar de nuevo para comprobar si existen otro tipo de vulnerabilidades”, ha concluido Hernández Encinas.
Finalmente, los investigadores han apuntado que lo más relevante del proyecto es que están desarrollando una arquitectura y un entorno de trabajo donde seguir explorando este tipo de ataques de canal lateral. De hecho, existe la posibilidad de extraer información de cifrado a partir de otros datos, como las variaciones de temperatura del dispositivo, el consumo de potencia o el tiempo que tarda un chip en procesar un cálculo.
