En ocasiones, nuestros clientes nos preguntan por qué los equipos deben estar fuera del alcance de personal no autorizado. La razón principal es que este acceso supone un riesgo para la integridad del sistema que puede comprometer los datos personales que estén almacenado en dichos equipos.

El riesgo para el sistema puede manifestarse de muchas maneras. Por ejemplo, una simple memoria USB enchufada a un ordenador puede bloquearlo totalmente provocando lo que se denomina la “pantalla azul de la muerte” (Blue Screen of Death).

Por supuesto, la memoria USB tiene que estar cargada con una determinada imagen NTFS para conseguirlo, pero, como se ha encargado de demostrar el investigador Marius Tivadar de la empresa de seguridad informática BitDefender, es posible conseguirlo.

Tivadar ha desarrollado lo que se denomina en el argot de la seguridad como USB-stick-of-death, algo así como un USB de la muerte, que consigue provocar un error fatal en máquinas Windows que monten versiones desde la 7 en adelante, es decir, las máquinas actuales.

Este trabajo de hacking no se ha hecho con fines delictivos sino todo lo contrario. Tivadar ha publicado su código en GitHub y ha informado a Microsoft de la existencia de esta vulnerabilidad. Es lo que se denomina un hacker social o hacker ético que se dedica a encontrar debilidades en los sistemas para así poder mejorarlos.

Microsoft ha hecho acuse de recibo del problema, pero no le ha dado mayor importancia por considerar que para explotar esta vulnerabilidad hace falta un acceso físico a la máquina o “ingeniería social” y que, por lo tanto, no cumple con los requisitos para que se emita un parche de seguridad específico.

Por cierto, cuando hablan de “ingeniería social” se refieren a que habría que engañar o ganarse la confianza de alguien que tuviese acceso a la máquina, un empleado, por ejemplo, para poder llevar a cabo el ataque. Esto, como ya hemos comentado repetidamente en este blog, sucede con mucha frecuencia a través de errores de seguridad tan comunes como el uso compartido de máquinas o la falta de formación sobre phishing.

A pesar de la displicencia de Microsoft, Tivadar no está convencido de que este sea un problema menor.

“No es necesario usar un USB,” ha declarado. “Un malware puede plantar una pequeña imagen NTFS y ejecutarla para conseguir el bloqueo del equipo”.