• Tweet

Muchos usuarios de Internet conocen la existencia de troyanos de software, pero los de hardware son menos conocidos. Consisten en circuitos integrados que han sido modificados por individuos maliciosos de tal manera que al desencadenar sus funciones, tratan de deshabilitar o pasar por alto la seguridad del sistema, o inclusive destruir el chip completo en el que se localizan.

Debido a que los dispositivos de hardware son casi exclusivamente producidos en países en donde los controles acerca de quién tiene acceso al proceso de manufactura son inexistentes, o en el mejor de los casos, bastante débiles, agencias de gobierno, organizaciones militares y de negocios que operan sistemas críticos para la infraestructura de un país, nunca suelen ser demasiado cuidadosos al comprobar si los dispositivos que planean utilizar han sido manipulados.

Existe una serie de técnicas para detectar troyanos de hardware, pero consumen mucho tiempo y esfuerzo. De tal manera que un equipo de investigadores del Instituto Politécnico de la Universidad de Nueva York (NYU-Poly) y de la Universidad de Connecticut decidieron investigar una solución más sencilla, y se les ocurrió la idea de “designing for trust”. “Las técnicas de 'diseño para la confianza' se basan en los métodos de diseño y pruebas actuales,” explica Ramesh Karri, profesor de ingeniería eléctrica y electrónica en NYU-Poly.

Dentro de éstas se encuentra el uso de anillos osciladores -dispositivos compuestos por un número impar de compuertas lógicas invertidas, cuyo voltaje de salida puede revelar si el circuito ha sido manipulados, o no- en los circuitos.

Circuitos No-manipulados, siempre producen la misma frecuencia, pero los alterados “sonarán” diferente. Por supuesto que, criminales sofisticados pueden encontrar una forma de modificar los circuitos para que la salida siempre sea la misma, así que los investigadores sugieren crear ciertas variantes de arreglos de anillos osciladores para que los hackers de hardware no puedan seguirles el rastro.

Mientras que la teoría suena bien, los investigadores se han encontrado con dificultades cuando se trata de pruebas en el mundo real.

Compañías y gobiernos están poco dispuestos a compartir lo que las muestras de troyanos de hardware pueden hacer, debido a que requeriría compartir hardware real modificado que pudiera dar a los investigadores cierta información acerca de su tecnología patentada o poner en peligro la seguridad nacional.

Afortunadamente, NYU-Poly organiza anualmente el evento Cyber Security Awareness Week (CSAW) y se tiene una competencia de hackers de sombrero blanco llamada Embedded Systems Challenge, durante la cual, estudiantes de todo el país construyen y detectan troyanos de hardware, y esas muestras están disponibles para ellos y para el público.