Los escáneres de oficina como vehículo para robar información secreta

Valiéndose de la luz, un escáner típico de oficina puede ser la clave para perpetrar un acto que comprometa gravemente la seguridad de la red informática de una empresa, a juzgar por los resultados una nueva investigación realizada por expertos en seguridad informática de la Universidad Ben-Gurion del Negev y del Instituto Weizmann de Ciencia, ambas instituciones en Israel.

El equipo de Ben Nassi, de la Universidad Ben-Gurion, llevó a cabo varias demostraciones en las que se transmitía un mensaje hasta los ordenadores conectados a un escáner de sobremesa. Usando fuentes de luz láser directa situadas a hasta 900 metros de distancia, así como sobre un dron posicionado en el exterior del edificio de su oficina utilizada como blanco de ataque, los investigadores lograron enviar un mensaje para, a través del escáner, activar malware (código malicioso) previamente instalado.

En otra demostración, los investigadores usaron un smartphone Galaxy 4 para tomar el control de una bombilla inteligente (usando señales de radio) en la misma habitación que el escáner. Empleando un programa escrito por ellos, manipularon la bombilla inteligente para que emitiera la luz pulsante que suministrara el mensaje de activación en solo unos segundos.

[Img #42766]

Un momento del ataque llevado a cabo como experimento de la investigación. (Foto: Ben Gurion University)

Para mitigar esta vulnerabilidad, Nassi y sus colegas recomiendan que las organizaciones conecten el escáner a la red de la empresa a través de un servidor proxy (esencialmente, un ordenador que actúa como intermediario), lo cual impediría el establecimiento de un canal encubierto. Esto podría ser considerado como una solución extrema, sin embargo, ya que limita las acciones remotas de impresión y envío de mensajes de fax en los dispositivos multifunción.