El ataque del frío me deja frío

29 de Febrero de 2008 — Manuel Delgado

En un mundo en el que la encriptación de la información personal y empresarial sigue siendo una utopía, en el que la gente va perdiendo por ahí llaves USB con todo tipo de datos confidenciales, en el que las contraseñas más habituales son tu DNI o la fecha de nacimiento de tu primogénito, en el que los gobiernos mandan por correo DVDs rebosantes de datos personales de los contribuyentes y en el que colocar un keylogger en un equipo es una cuestión trivial, no entiendo el revuelo organizado por el llamado "ataque del frío" (en inglés, cold boot attack) [PDF:2,46MB], que no es más que la posibilidad de mantener durante un tiempo la información contenida en la memoria RAM de un equipo apagado manteniéndola a muy baja temperatura gracias a, por ejemplo, un spray con nitrógeno líquido -o incluso un simple spray de aire, invertido-. Gracias a esta forma de acceder a la información de la RAM, sería posible, por ejemplo, recuperar las claves usadas por diversos programas de seguridad para desencriptar la información que protegen.

No quiero en ningún momento quitarle mérito a los expertos de la Universidad de Princeton que han realizado ese estudio y han destruido el mito de la volatilidad total de la memoria RAM. Asimismo, ninguna amenaza de seguridad ha de ser tomada a la ligera, sino analizada con sensatez. Sin embargo, tengo la sensación, a juzgar por las discusiones por email y en algún que otro foro y blog del que soy habitual, de que esta amenaza ha recibido mucha más atención por el gran público de lo que se merece. Si bien las implicaciones teóricas del asunto son importantes, no llego a entender cómo esto ha interesado a tanta "gente normal" que, seguramente, no podría decir qué significan las siglas PKI o PGP pero que, de pronto, se encuentran muy preocupados porque alguna agencia de espionaje americana pueda coger sus módulos RAM, meterlos en nitrógeno líquido y conservarlos durante días para poder escudriñar el contenido de sus chips con tranquilidad. Está claro que no hay como darle publicidad a un riesgo de seguridad para que la gente se sienta algo más insegura. Me remito a este artículo de Kriptópolis para más información sobre el asunto y sobre cuánto afecta de verdad al "usuario medio" de ordenadores.

Sí son de agradecer, en cambio, acciones como las de PGP Corporation, que publicaron una nota sobre cómo pueden verse afectados sus productos por este ataque del frío, aun a pesar de que su nombre no se menciona en el estudio original. El secretismo, las meras relaciones públicas y el escurrir el bulto no son nunca buenos compañeros de viaje para las empresas de seguridad informática.

Fotografía de dos botellas de nitrógeno líquido en medio de la calle en New York, cortesía de barcoder96 mediante una licencia Creative Commons by-sa.