USBKill: ¿nueva capa de protección de la información o herramienta anti-forense?

usb-623x432

Todos aquellos que manejan información confidencial se preocupan (o al menos deberían hacerlo) de evitar que esta caiga en las manos inadecuadas. Con la cantidad de información que almacenemos en dispositivos móviles como smartphones, tablets y portátiles, es vital contar con varias medidas de seguridad para protegerla, y USBKill puede ser una más.

Cómo funciona USBKill

En esencia, USBKill no es más que un script en Python que monitoriza el estado de los puertos USB de nuestro ordenador y, en el momento en que detecta un cambio en ellos (por ejemplo, cuando insertamos o quitamos un pendrive), envía un comando al sistema para que se cierre de forma inmediata.

Este cierre de forma repentina, normalmente provoca que se pierda (o al menos no se pueda recuperar fácilmente) la información en la que estábamos trabajando en ese momento y que no se hubiese guardado. Para la mayoría de usuarios esto puede parecer una funcionalidad con poco uso, pero para según qué personas puede suponer la diferencia entre la libertad y la cárcel.

Pongamos, por ejemplo, el caso de activistas que luchan por los derechos humanos en países que no los cumplen, o en periodistas que trabajan en zonas de conflicto con regímenes que vigilan cada uno de sus movimientos o publicaciones. El uso de esta herramienta, combinado con otras medidas como el cifrado de los discos y memorias flash y un uso de contraseñas robustas, puede dificultar bastante un análisis forense, aunque tampoco garantiza privacidad absoluta.

Qué hace y qué no hace USBKill

Como ya hemos dicho, USBKill solo se limita a realizar un apagado de emergencia del ordenador al que conectamos o desconectamos un dispositivo USB. Si bien, tal y como su creador afirma, esto puede dificultar el análisis forense de esa máquina, la capacidad de extraer información del sistema depende de los conocimientos y herramientas de las que disponga la otra parte.

Si un delincuente utiliza USBKill, por ejemplo, para intentar borrar el rastro de las últimas acciones realizadas en su ordenador cuando agentes de las Fuerzas y Cuerpos de Seguridad del Estado intervienen, es probable que le resulte inútil. Decimos esto tras contemplar hace un par de años en las jornadas de seguridad Navaja Negra de Albacete una demostración en vivo realizada por Pedro Candel en la que pudo recuperar información de la memoria RAM de un equipo que había sido apagado de forma repentina.

Por eso, la utilidad de esta herramienta está limitada al conocimiento que tengan las personas que quieran acceder a la información almacenada en ese sistema. Por eso, tanto el desarrollador como nosotros recomendamos utilizar un cifrado robusto para que no se pueda acceder a la información que sí se ha guardado en el sistema.

El cifrado sigue siendo esencial

Una vez comprendido que el uso de USBKill está pensado para una serie de usuarios específicos con unas necesidades concretas, debemos pensar en proteger la información que ya se encuentra almacenada en nuestro sistema. Para ello existen soluciones de todo tipo, incluso los sistemas operativos actuales ya suelen incluir cifrado. Así pues, tenemos Bitlocker en Windows, Filevault en Mac OS X, Luks en GNU/Linux, opciones gratuitas como VeraCrypt y AES Crypt (y muchas otras surgidas tras el abandono de TrueCrypt por sus creadores) y opciones de pago pensadas para empresas como DESlock+.

Sea cual sea la solución que usemos, es importante contar con una clave de cifrado robusta. De la misma forma, si almacenamos ficheros en la nube, las contraseñas de acceso a estos servicios también han de ser lo suficientemente seguras y estar a buen recaudo, utilizando doble factor de autenticación siempre que sea posible.

Conclusión

USBKill es una herramienta que realiza una labor muy específica y está pensada para usuarios muy concretos. No evitará que un ladrón acceda a la información que almacenamos en nuestro portátil si no la tenemos cifrada o si la contraseña de acceso es fácil de averiguar. Por eso, siempre será preferible que contemos con un cifrado robusto en nuestro sistema que solo deje acceder a datos confidenciales a los usuarios de confianza.

Josep Albors

Vulnerabilidad en plugins de WordPress pone en riesgo millones de blogs