Hemos sido testigos innumerables veces: películas de acción en donde algún personaje escapa abriendo una puerta o liberándose de esposas simplemente usando una hebilla para el cabello o un trozo de alambre. Quizá nos llamaron aún más la atención las técnicas avanzadas en películas de espías, que logran engañar a dispositivos biométricos.

Sin embargo, ¿cuán viables son estas técnicas y qué relación tienen con la seguridad informática? Especialistas y entusiastas se dedican a su estudio, y están muy de moda en las conferencias nacionales e internacionales de seguridad.

Conociendo al Lockpicking y cómo se relaciona con la seguridad informática

El lockpicking es el arte de abrir una cerradura o dispositivo de seguridad física mediante el análisis o manipulación de sus componentes, lógicamente, sin tener la llave original. Además, existe la premisa de que no se debe dañar el dispositivo, para que pueda seguir siendo utilizado en forma habitual luego de ser abierto.

Lockpicking es el arte de abrir una cerradura manipulando sus componentes sin tener la llave original

En este sentido el lockpicking es especialmente importante cuando se trate de cerraduras antiguas, que serían imposibles de reemplazar si se utilizan los métodos actuales más comunes, que son destructivos.

Trazando un paralelismo con la seguridad informática, podemos resaltar que el lockpicking, lamentablemente y de forma equívoca, se suele asociar con intenciones criminales, como muchas veces ocurre con el hacking.

Por otro lado, es común para los auditores de seguridad informática explotar alguna vulnerabilidad en el software para obtener acceso a un sistema blanco. En el caso de cerraduras, la vulnerabilidad a explotar será una falla mecánica, y de este modo el especialista conseguirá abrirla.

Esta disciplina es muy valiosa y será muy valorada en la rutina de un cerrajero. No obstante, cada día atrae a más apasionados de la seguridad informática, que sin romper ninguna ley prueban sus habilidades simplemente como un hobby, desafiándose de forma progresiva con sistemas de mayor complejidad, robustez y seguridad.

Sin ir más lejos, los asistentes habituales de ekoparty en Argentina ya han convertido en un clásico al sector donde se practica lockpicking, como hemos mostrado en nuestros videos de cobertura de esta conferencia de seguridad.

Las herramientas necesarias

Una de las principales herramientas de la cuales se alimenta esta actividad, sin lugar a dudas, es la curiosidad. Y ahí tenemos otro paralelismo con el hacking verdadero, el de buenas intenciones.

En muchos casos, este es el motor que inicia el estudio más profundo. Debido a que existen pocos cursos de lockpicking, las capacitaciones normalmente se consiguen navegando en foros o portales específicos de esta temática. Con la lectura de la guía del MIT,y varias horas de práctica, es posible introducirse satisfactoriamente en el mundo del lockpicking.

Por otra parte, los juegos de ganzúas, ya sea comprados o fabricados de manera casera, en conjunto con algunos candados viejos, podrán servir para iniciarse en esta materia. Por supuesto que dependido del tipo de cerradura las herramientas podrán ser muy diversas, pero en general se necesita un tensor y una ganzúa que logre explotar alguna falla mecánica.

También existen algunas herramientas eléctricas que reducen drásticamente los tiempos en los que se demora encontrar la vulnerabilidad; básicamente estas pistolas (Snap gun) logran generar una cantidad de vibraciones muy elevada en comparación a la que se lograría de forma manual, aminorando en gran parte el tiempo del proceso de apertura.

Sin embargo, no solo se trata de cerraduras antiguas: también se estudian técnicas para abrir dispositivos biométricos. Esto significa que existen técnicas con las cuales podremos capturar una huella dactilar y luego utilizarla para abrir algún dispositivo, simplemente con los materiales indicados, como vemos en la siguiente imagen:

herramientas-lockpicking

Ya hemos hablado de la posibilidad de que se copien huellas dactilares a partir de una foto, utilizando pegamento y una foto. Aquí vemos otro paralelismo con la seguridad: una técnica que permite ganar acceso y puede ser utilizada para el bien o para el mal.

¿Cómo podrían afectar estas técnicas a la seguridad de la información?

Suele decirse que los ataques ocurren explotando el eslabón más débil de la cadena. De este modo es lícito preguntarse si la seguridad física puede convertirse en ese eslabón.

Habitualmente las empresas ponen su foco solamente en ataques remotos y en resguardar los sistemas de agentes externos a la empresa, lo cual deja una brecha en caso de que el atacante o un empleado “disgustado” con malas intenciones esté dentro del perímetro. Suponiendo que un perpetrador ha logrado acceso físico a un servidor, la fuga de información es inminente y la continuidad pende de un hilo.

Un atacante podría simplemente desconectar de la red eléctrica a un equipo, lo que podría causar la caída afectando la disponibilidad de la información o causando un efecto dominó en muchos sistemas. De este modo, estos incidentes podrían causar un gran impacto, por lo cual debieran considerarse con anterioridad.

Como ya te habrás imaginado, muchas cerraduras, candados y esposas logran abrirse en cuestión de segundos. Sin embargo, existen algunas que presentan una mayor robustez e inclusive se comercializan con capacidades anti-lockpicking.

Este es un panorama bastante alentador para los encargados de mantener la seguridad perimetral, pero ¿cuántas empresas tienen en cuenta este tipo de técnicas al diseñar planes de seguridad en las infraestructuras?

Conclusión

Debemos destacar la importancia de que profesionales de sistemas y de seguridad de la información no pequen de ignorantes respecto a este tipo de técnicas. Así como es útil hacer capacitaciones de hacking ético, con el fin de concientizar acerca de cómo funciona un ataque informático y cuál es la mejor manera de mitigar un incidente, los especialistas en seguridad deberán tener al menos una idea general de este tipo de problemáticas que pueden poner en jaque todo el sistema de información digital. Sobre todo debido a que la información se almacena digitalmente en un dispositivo físico, como es el caso de discos rígidos o cintas de backup.

Por este motivo, continúa siendo un punto crucial mantener la integridad de la seguridad física. Las capacitaciones en técnicas de lockpicking son protagonistas a la hora de asesorar y mejorar de forma proactiva los tipos de controles o cerraduras que se deben aplicar, para resguardar la información contenida en un rack de server o en un datacenter.

De este modo, se cubrirá de mejor manera una capa más en la seguridad de la información, conformando así un sistema integro más robusto y seguro.

Sigue leyendo: La seguridad física como parte integral de la seguridad de la información