25/09/2003 La tecnología Tempest blinda los ordenadores para evitar fuga de datos El Ejército español y empresas privadas la usan para evitar que un espía capte los campos electromagnéticos que generan las máquinas. Los que trabajan con información clasificada han de apantallar las máquinas El Ejército español está protegiendo ordenadores y sistemas de comunicaciones que manejan información clasificada para evitar su posible robo o destrucción a través de las ondas electromagnéticas y eléctricas que desprenden automáticamente este tipo de equipos informáticos. La protección se basa en introducir las unidades críticas de los cuarteles en salas blindadas especiales que cumplen medidas Tempest, una certificación creada hace décadas por Estados Unidos para garantizar la seguridad de los centros de comunicaciones gubernamentales. ¿Por qué es necesario este tipo de seguridad? Los aparatos modernos, aunque deben cumplir normativas de compatibilidad electromagnética, pueden desprender campos electromagnéticos y eléctricos. Por ejemplo, un disco duro emana distintas señales cuando lee un 0 de cuando lee un 1. Un atacante, cómodamente instalado a cientos de metros e incluso a kilómetros, podría captar las ondas y reconstruir la información pertrechado con aparatos adecuados. Los consumidores pueden respirar tranquilos: el vecino espía lo tiene difícil porque acceder a este tipo de materiales es caro, y su manejo, para expertos. Las salas Tempest son unas habitaciones construidas con materiales especiales. Atenúan los campos electromagnéticos emanados por los aparatos y se vuelven impermeables a las interferencias creadas por centros de transformación de energía, por ejemplo. La certificación Tempest se consigue cuando la reducción de las ondas sobrepasa los 110 decibelios (DB); por debajo son medidas Soft Tempest. A más decibelios, mayor protección, pero el coste se dispara. Una atenuación de 40 DB representa una efectividad del 99,9%. A pesar de la cifra, es poco seguro; alcanzar los 110 DB exige atenuaciones del 99,999999%: milésimas caras y difíciles de conseguir. Un diminuto poro en los paneles echaría todo al traste. 'Ahora también se apantallan ordenadores, ristras de servidores y otro tipo de equipos informáticos', asegura Carmen Ibáñez, responsable de Proysa, empresa burgalesa de seguridad. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 1 Salas Tempest Proysa está instalando 25 salas Tempest en cuarteles del Ejército español. Son espacios de dos habitáculos: uno para los operadores y otro para almacenar datos. El proyecto también afecta a hangares y zonas de diseño de aviones. La Marina también ha protegido algunos navíos con estas salas y el Ejército ha preparado en el extranjero camiones de comunicaciones, con cajas Tempest que deben soportar baches y agua sin que se desajuste ni un tornillo, por donde podrían pasar las ondas. Consultado sobre el alcance de estas medidas, el Ministerio de Defensa no ha ofrecido ningún detalle. No siempre son necesarias las salas Tempest. Para evitar emisiones no deseadas de antenas de telefonía móvil o líneas de media tensión, basta con introducir los equipos informáticos en armarios apantallados. Algunos computadores y periféricos son en sí mismos pequeñas jaulas Tempest: ni irradian ni se ven afectados por las señales. El mercado Tempest en España es incipiente y se dedican a él pocas empresas. Proysa ha instalado 40 habitaciones blindadas, construye unas 10 al año y en 2004 prevé montar 15 más. Una instalación puede durar de dos a tres meses y afectar a un edificio entero. Tres empresas de diseño de prototipos de vehículos, dos entidades financieras y un operador de telefonía fija son algunos de sus últimos clientes. El espionaje industrial preocupa cada vez más, pero también los posibles daños de grandes bases de datos a causa de las interferencias. Advanced Shielding Technology (AST), del grupo Daunert, también trabaja con técnicas Tempest. Ha creado una filial en Alemania y es proveedor de dos grandes multinacionales informáticas norteamericanas en temas de auditoría y apantallamiento de centros de datos europeos. Joseba Calvo, responsable de AST, destaca que ahora existe un mayor interés por este tipo de protección frente a los campos eléctricos y, en algunos casos, electromagnéticos. Sobre todo en aeropuertos, hospitales y oficinas. Protección cara En todas las situaciones, el equipo prioritario a salvaguardar es el ordenador, donde residan los datos o el servidor conectado a la Red. No merece la pena blindar teclados, el ratón, impresoras o monitores, señala Ibáñez: 'Es como matar pulgas a cañonazos, porque para captar lo que emiten esos aparatos periféricos es necesaria una tecnología muy sofisticada y cara'. Una sala típica cuesta alrededor de 40.000 euros. Apantallar un ordenador, unos 1.500 euros. Los cables de red estándar salen a unos 72 euros el metro. Pero los niveles de contramedidas más altos sólo están al alcance de instalaciones de alta seguridad. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 2 A diferencia de Internet, estos ataques pueden pasar completamente desapercibidos. 'Necesitas un detector de campos magnéticos para comprobar cambios, y casi nadie lo tiene', asegura Calvo. Los equipos certificados Tempest no se encuentran en tiendas de informática, y el material para sabotear la información, tampoco. Con un presupuesto de 12.000 euros, un manitas puede encontrar en Internet todo lo necesario para construir un equipo de espionaje básico; la efectividad dependerá del desembolso, de los conocimientos técnicos y del objetivo a atacar, afirma Calvo. Información facilitada por HELGUERO ASOCIADOS C/ Magallanes, 24 – 1º C 28015 Madrid Tfno. 902.440.003 www.protegemostusdatos.com 3