Aunque parezca extraño, sí, habéis leído bien. Unos investigadores alemanes han descubierto la manera de propagar malware usando sonidos. Sorprendente, ¿no? Pues sobre el papel, no debería haber ningún problema. A la espera de una lectura más profunda del documento que han generado estos investigadores, el tema puede considerarse factible.
En el fondo, lo único que han hecho (y la palabra “único” no quiere decir sencillo) es cambiar el modo de comunicar dos ordenadores. Hoy en día, cuando pensamos en conectar dos ordenadores siempre pensamos “pues por Internet”. Sí, es así, pero hay mucho que hablar sobre la conexión de dos sistemas.
Para evitar problemas de conexión de sistemas, allá por los años 80 del siglo pasado, la organización ISO (Internationsl Standards Organization) desarrolló un estándar para la interconexión de sistemas, al que se denominó Modelo OSI. En este modelo se especificaban distintas capas, siete concretamente, que debían ser compatibles para conectar ordenadores.
La primera de ellas se refiere al nivel físico con el que se conectan los equipos. Es un nivel casi de hardware, en el que se definen cables, conectores, niveles eléctricos de conexión, etc. Así, por ejemplo, cuando conectamos el ordenador al router, estamos utilizando un cable, sí, pero es posible conectarlos porque tanto el PC como el router cumplen un estándar: la capa 1, física, del modelo OSI. Lo mismo ocurre si conectamos el ordenador mediante WiFi. Todo el resto de los elementos para la conexión es casi lo mismo, pero la conexión física con el router cambia.
En el sistema de propagación de malware mediante sonido, lo que se está haciendo es cambiar el sistema de enlace entre ordenadores. En lugar de emplear un cable o WiFi, se emplea sonido: un sistema emite un sonido por los altavoces, sonido que recoge el micrófono de otro ordenador. No es más que un cambio en el interfaz de comunicaciones, en principio.
¿Es posible transmitir malware así? Pues sí, se puede transmitir malware, fotos, documentos… El qué se transmita es lo de menos, una vez establecida la conexión. Pero una vez establecida la posibilidad teórica, hay que ser realistas, y ahí ya nos encontramos que la realidad es mucho más incómoda de lo que solemos esperar.
Una conexión WiFi, por ejemplo, está basada en ondas electromagnéticas, que son capaces de superar obstáculos (dentro de unos límites, claro) y propagarse con facilidad. El sistema de transmisión mediante ondas electromagnéticas es muy cómodo, y puede emplearse para transmitir información desde unos pocos metros (Bluetooth), unas decenas o centenares de metros (WiFi) o incluso miles de kilómetros y llegar a la otra parte del mundo, como se hace con las emisiones de radio onda corta, como las de Radio Exterior de España, que emite desde Noblejas (Toledo) para Oceanía.
Pero el sonido es muy diferente. Mientras que para evitar la propagación de una onda electromagnética hay que tener complejos dispositivos aislantes, para evitar la propagación de una onda de sonido basta con algo tan simple como… ¡cerrar la puerta! Sí, es así de sencillo. Si nos molesta el ruido de la lavadora, cerramos la puerta de la cocina y el sonido se mitiga muchísimo. Y si cerramos otra puerta en medio, el sonido puede anularse por completo. Así que tendríamos una buena protección por ahora contra ese malware que se transmite por sonido.
Por lo que puede leerse, el sonido mediante el cual se transmite la información es en una frecuencia inaudible por el hombre. Todos hemos oído hablar de los “ultrasonidos”, son sonidos con una frecuencia tan alta que nuestro oído es incapaz de reconocer. También hay “infrasonidos”, con una frecuencia bajísima. Se asegura que los perros pueden oír ultrasonidos y las ballenas infrasonidos, habrá que preguntarles a ellos. Por lo general, se admite que un oído humano es capaz de reconocer sonidos situados entre los 20 Hz y los 20.000 Hz. Siempre que tengan un volumen adecuado, claro. Luego hay excepciones, como las madres, que son capaces de oír frecuencias insospechadas con un volumen bajísimo, pero claro, son madres, y eso es insuperable.
Si queremos que la transmisión de sonido sea inaudible debemos superar esos 20.000 Hz, una frecuencia realmente alta. Y podría ser posible que algún humano lo oyera, como las madres que he mencionado antes, así que debería elevarse la frecuencia un poco más, pensemos en los 23 o 24.000 Hz. Pensemos que un CD de audio puede almacenar sonidos de hasta 22.500 Hz, por algo lo habrán hecho así.
Pero generar un sonido con esa frecuencia no es tarea fácil, y mucho menos con los altavoces que tienen incorporados los ordenadores. Esos altavoces están pensados para emitir un par de pitidos de advertencia, no para deleitarnos con una sinfonía. Los que escuchamos música en un ordenador siempre preferimos conectar unos buenos altavoces externos para que la calidad sea adecuada. Los míos en este momento son capaces de reproducir sonidos entre 40 Hz y 20.000 Hz. No son malos, ni de lujo, pero ya no podrían servir para la transmisión aunque se oiga muy bien a Kraftwerk.
Y luego hay que recibir el sonido en un ordenador, mediante el micrófono. Todos los que hemos intentado grabar un sonido con un micro incorporado o con uno de esos de peana hemos descubierto que la calidad no es especialmente buena. Cuando la Orquesta Nacional de España graba una actuación, podemos ver que los micrófonos son realmente complejos. Hay que grabar muchísimos matices y muchísimas frecuencias distintas, audibles todas ellas. ¿Va a poder el micrófono recoger ese sonido? Es un micrófono, pensado para la voz humana, no me imagino yo a los desarrolladores del micrófono pensando el hacerlo tan sensible que recoja ultrasonidos, una funcionalidad que va muchísimo más allá de lo necesario. Vamos, como desarrollar una pantalla de ordenador que sea capaz de mostrar infrarrojos o ultravioletas. Inutilidad completa.
Así, pues, aunque el experimento sea posible y hayan conseguido hacerlo en determinadas circunstancias y con sistemas preparados para ello, dudo que pueda existir una implementación real. Por ahora estamos protegidos contra ese tipo de transmisión de malware.