Ingrese a cualquier cafetería, sala VIP de aeropuerto o lobby de hotel y verá el lugar de trabajo moderno en acción. Portátil empresarial abierto, reunión por vídeo, edición de documentos en tiempo real. El trabajo ya no se limita a la oficina.
Esta flexibilidad ha proporcionado enormes beneficios de productividad, pero también ha aumentado una de las amenazas más antiguas pero aún subestimadas de la ciberseguridad: el acceso físico a un dispositivo.
Hoy en día, nuestras computadoras portátiles están en el centro de todo lo que hacemos y realizan nuestras tareas más importantes, desde documentos y mensajes confidenciales hasta credenciales y datos confidenciales sobre nuestros clientes y empleados. Pero eso los convierte en un objetivo principal. Cada día, miles de portátiles se pierden o son robados, lo que pone en riesgo esos datos.
El artículo continúa a continuación.
Vicepresidente, CTO de sistemas comerciales y de seguridad, Sistemas personales, HP Inc.
Al mismo tiempo, el valor de estos dispositivos para los atacantes está aumentando. Las computadoras portátiles modernas están procesando localmente más datos confidenciales que nunca. La rápida adopción de herramientas de inteligencia artificial está acelerando esta transición, a medida que las herramientas que analizan documentos, imágenes y grabaciones de voz amplían la cantidad de datos confidenciales manejados directamente en los puntos finales.
Una computadora portátil comprometida puede contener credenciales almacenadas en caché, datos corporativos almacenados localmente o acceso autenticado a aplicaciones internas. Los atacantes pueden utilizar este punto de apoyo para filtrar información confidencial o penetrar profundamente en una red empresarial. E incluso si los datos se almacenan conceptualmente en la nube, generalmente deben almacenarse en caché localmente para mejorar el rendimiento, por lo que terminan en el dispositivo de todos modos.
En definitiva, esto significa que el propio portátil se ha convertido en un objetivo cada vez más atractivo para los atacantes.
Por qué la configuración predeterminada de Bitlocker no es suficiente
Si un dispositivo cae en las manos equivocadas, la mayoría de las empresas confían en el software de cifrado de disco BitLocker, que se utiliza ampliamente para garantizar que los datos de las computadoras portátiles perdidas o robadas estén protegidos. Sin embargo, esto se puede evitar si un atacante tiene acceso físico a un dispositivo.
Un ejemplo es una técnica conocida como “espionaje de bus TPM”. Este enfoque permite a los atacantes interceptar la comunicación entre el Módulo de plataforma segura (TPM) del dispositivo y la CPU durante el proceso de arranque.
TPM es un chip de seguridad especial responsable de varias funciones de seguridad importantes. Almacena de forma segura claves criptográficas, admite mecanismos de autenticación y permite procesos de arranque seguros. También trabaja en estrecha colaboración con tecnologías de cifrado como BitLocker para proteger los datos almacenados en el dispositivo.
En la configuración predeterminada, el TPM publica la clave de descifrado del disco durante el inicio del sistema después de verificar que el entorno de inicio del dispositivo sea confiable. Esta configuración predeterminada de BitLocker solo para TPM es interesante por su facilidad de implementación, lo que significa que muchos dispositivos desbloquean automáticamente la unidad cifrada al arrancar sin requerir autenticación adicional.
Los investigadores han demostrado que un atacante con acceso físico al dispositivo puede interceptar esta comunicación durante el inicio y recuperar la clave de cifrado. En algunos casos, esto se puede hacer en menos de un minuto utilizando hardware que cuesta tan solo 20 dólares.
Estos ataques a autobuses TPM están cada vez mejor documentados. Lo que alguna vez fue una necesidad de laboratorios especializados se está volviendo más accesible a medida que las herramientas, la investigación y las demostraciones prácticas se extienden por toda la comunidad de seguridad.
Es importante destacar que esta no es una vulnerabilidad que solo pueda corregirse mediante una actualización de software. El problema radica en cómo se comunican los componentes del hardware durante el inicio. Una vez que un atacante tiene acceso físico a un dispositivo, opera más allá de muchas de las suposiciones en las que se basan las protecciones de software.
Para las organizaciones, esto plantea la incómoda cuestión de cumplimiento de si el BitLocker estándar todavía puede considerarse un control de mitigación suficiente a la hora de decidir si la pérdida de un dispositivo que contiene PII debe informarse a una autoridad nacional de protección de datos.
Por qué la seguridad del hardware es más importante que nunca
A medida que los dispositivos se vuelven más móviles (y objetivos más valiosos), las organizaciones deben repensar cómo abordan la seguridad de los terminales.
Las estrategias de seguridad tradicionales se han centrado en gran medida en controles de software, como plataformas de software de seguridad de terminales, refuerzo del sistema operativo y monitoreo de red. Estas capas siguen siendo esenciales, pero no pueden proteger completamente un dispositivo si los atacantes pueden acceder directamente al hardware. Es por eso que estamos viendo un creciente interés en la seguridad basada en hardware: sistemas diseñados con protección incorporada desde el silicio.
Nuestras nuevas arquitecturas de seguridad basadas en hardware introducen un canal de comunicación cifrado entre TPM y CPU certificados, evitando intercepciones e investigando ataques.
El TPM está vinculado criptográficamente al propio dispositivo, lo que significa que no se puede mover a otro dispositivo y no se puede engañar para que revele la clave de cifrado. Esto cierra una brecha de seguridad de larga data en la industria para evitar complicaciones adicionales para los equipos de TI.
Asegurar el futuro del trabajo
El trabajo híbrido ha cambiado permanentemente cómo y dónde se utilizan los dispositivos corporativos. Las computadoras portátiles ahora se mueven a través de entornos que las organizaciones no pueden controlar completamente, mientras procesan simultáneamente volúmenes cada vez mayores de datos confidenciales.
Esa realidad significa que los ataques de acceso físico ya no son un evento periférico, sino un riesgo para el cual las organizaciones deben planificar de manera proactiva. La protección de los terminales modernos requiere cada vez más una estrategia de seguridad que dé prioridad al hardware, donde las capacidades de seguridad y autenticación estén integradas directamente en el dispositivo.
Porque una vez que una computadora portátil sale de la oficina, necesita poder protegerse.
Hemos clasificado los mejores cursos de ciberseguridad en línea.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
