Canales encubiertos en entornos móviles: robo de datos en forma sigilosa

La instalación de una amenaza en la red significa por sí misma solo una etapa inicial en la cadena de compromiso. El siguiente gran desafío que enfrentará el cibercriminal será lograr que el código malicioso permanezca en el sistema el tiempo necesario para captar la información sensible, lo que implica que las comunicaciones con el centro de comando y control deben ocultar la información robada.

Muchos autores de malware optan por el uso de la criptografía para impedir la lectura del payload en los paquetes maliciosos, pero esto no vuelve “invisible” al flujo de datos, dejándolo sujeto a la precisión de las defensas desplegadas para detectar eventos anormales.

Para superar este obstáculo, una segunda aproximación se desprende del campo de la esteganografía: la práctica de ocultar la propia existencia de una comunicación mediante el uso de canales encubiertos (del inglés, covert channels).

Con la vorágine de la Internet de las Cosas acaparando los nuevos desarrollos tecnológicos, no resulta precipitado vislumbrar la próxima utilización de estas técnicas de compromiso sobre dispositivos móviles.

Evolución de los canales encubiertos a entornos móviles

Los canales encubiertos son utilizados para filtrar datos desde un ambiente seguro de una manera que sea extremadamente difícil de percibir para los mecanismos de seguridad. Este concepto no es una creación reciente; por el contrario, han sido utilizados durante años sobre tecnologías tradicionales para comprometer equipos sin alertar a las herramientas de firewall y otros mecanismos de detección de intrusos.

Normalmente, implican el diseño de protocolos de comunicación, conocidos tanto por el emisor como el receptor, que exploten vulnerabilidades o abusen características en las tecnologías de telecomunicaciones utilizadas sobre las diferentes capas de red. Estos protocolos pueden fundarse en el almacenamiento de datos en un medio accesible a los dos extremos, donde el receptor revisa esa localización a intervalos de idéntica duración, o en la alteración del tiempo de respuesta que el receptor percibe, donde la duración de cada intervalo de tiempo se corresponde a un símbolo del alfabeto del mensaje.

Un ejemplo de lo primero sería una aplicación maliciosa que para cada período active o no una funcionalidad específica –como el envío de paquetes o la vibración del terminal, entre otras– para representar valores binarios con la presencia o ausencia de actividad. En el segundo esquema, la aplicación podría enviar un paquete para luego esperar x o y segundos hasta enviar el próximo, según se quiera transmitir un 0 o un 1, o cualquier otro símbolo.

Mientras los teléfonos y tabletas inteligentes concentran una mayor variedad de servicios y acceden a datos cada vez más sensibles, la posibilidad de códigos maliciosos que se valgan de canales encubiertos para transmitir la información robada se transforma progresivamente en un riesgo asequible.

¿Qué novedades presenta el panorama móvil?

Claro que, debido a la capacidad que poseen los equipos móviles para funcionar como computadores, los viejos vectores de ataque –como el uso de protocolos de la pila TCP/IP– continúan siendo válidos. Pero aún más, la explotación de un escenario móvil incorpora nuevas variantes, como la utilización de llamadas y mensajes SMS para el envío de información codificada, con el agregado de que los proveedores de telecomunicaciones poco han hecho para detectar e impedir amenazas trasladándose por estos medios.

Los canales encubiertos pueden utilizarse no solo para transmitir información al exterior del dispositivo, sino también entre las aplicaciones que están en él instaladas. Así, un cibercriminal podría crear una suite de códigos maliciosos –cada uno requiriendo unos pocos permisos nada sospechosos– que al instalarse en un mismo dispositivo actúen sinérgicamente para el robo de información del equipo.

Al interactuar con los niveles de sonido o vibración, el sistema de archivos, sockets o acelerómetros, las aplicaciones pueden ocultar la fuga de información. Esto ciertamente representaría un enorme desafío para las tiendas oficiales de aplicaciones en lo que respecta a detectar y detener a tiempo la distribución de malware.

Además, investigaciones probaron la eficacia de transmitir datos codificados a través de sonidos inaudibles, es decir, sonidos de alta frecuencia y aquellos producidos por las vibraciones del equipo.

El horizonte para la explotación de canales encubiertos es tan vasto como los límites de la imaginación humana. Mientras los proveedores de telecomunicaciones, fabricantes de equipos, desarrolladores, organizaciones y usuarios tomen más en serio la seguridad móvil, los cibercriminales se verán forzados a optar por nuevos métodos para encubrir sus creaciones.

Canales encubiertos, ¿para la protección de datos?

No debemos apartar a un lado la ventaja que estos canales encubiertos brindan cuando responden a la protección de la información corporativa. El diseño de protocolos personalizados para la transmisión de datos de forma imperceptible incorpora nuevas barreras de protección al repertorio de políticas y herramientas de seguridad habituales.

Aunque eliminar del sistema corporativo la amenaza de cada potencial canal encubierto no resulta más que un sueño utópico, la comprensión de estos riesgos es un paso primordial –muchas veces ignorado– hacia una completa política de seguridad.

Autor , ESET

Síguenos