Para la mayoría de la gente, las impresoras de la oficina son puntos de reunión inocuos dentro de sus lugares de trabajo. Sitios donde quejarse porque el tóner siempre está desapareciendo o por ese compañero al que parece que le encanta cargarse árboles. Para Ang Cui son un objetivo muy valioso que ofrecen a los hackers una forma de entrar en sistemas sensibles y robar secretos industriales.

Red Balloon Security, una start-up cofundada por Cui, ha desarrollado una tecnología capaz de proteger estos equipos del pirateo. El sistema implica observar si hay señales de manipulación indebida del código de bajo nivel -o firmware- que se ejecuta en estos aparatos. La empresa planea demostrar el primer equipo inyectado con el código defensivo, un teléfono IP de Cisco, esta semana.

"Las impresoras son fácilmente accesibles", afirma Cui, un estudiante de doctorado de 30 años de la Universidad de Columbia (EE.UU.) que ha demostrado numerosas técnicas para piratear impresoras y otro hardware de oficina. "La mayoría del firmware se escribió hace una década, cuando no se preveían ataques contra ellos", explica.

Los equipos de oficina normales tienen cada vez más componentes informatizados y están cada vez más conectados a la red de las empresas. Los teléfonos de las oficinas, por ejemplo, suelen estar en red para poder redirigir llamadas y para enviar mensajes de voz como correos electrónicos. Este hardware es un objetivo atractivo para los hackers, pero como nunca se consideró potencialmente vulnerable, no hay forma de usar un software antivirus convencional con él.

A finales de 2011, Cui demostró cómo, mediante el envío de órdenes cuidadosamente diseñadas a una impresora Hewlett Packard LaserJet, un atacante podría controlar la máquina a distancia, consiguiendo así una forma de obtener información delicada y saltarse las medidas de seguridad habituales en las empresas. Cui buscó impresoras vulnerables a través de Internet y encontró 201 máquinas sin proteger en el Departamento de Defensa. HP se vio forzado a sacar actualizaciones de firmware para 56 modelos distintos de impresoras.

Millones de máquinas más, incluyendo routers, interruptores de red y equipamiento industrial dependen del software que traen incorporado y sobre el que se centra el trabajo de Cui. "Las vulnerabilidades de las impresoras no son más que la punta del proverbial iceberg", afirma Salvatore Stolfo, asesor de Cui en Columbia y cofundador de Red Balloon Security.

La start-up está refinando una idea que se le ocurrió a Cui en 2009, cuando creó el denominado código symbiote, que se puede añadir al firmware para modificarlo sin interrumpir su comportamiento normal. Una vez fusionado con el firmware, este código puede servir para prevenir un ataque malintencionado.

El año pasado Cui demostró una forma automatizada de desempaquetar y modificar el firmware, haciendo que sea más fácil añadir el código symbiote a distintos tipos de hardware. Los investigadores planean dar más detalles de la tecnología este mismo mes. "No 'instalamos' symbiotes en los aparatos con software incorporado en el sentido tradicional, como instalas un programa en tu portátil", explica Cui. "Modificamos el propio código binario del programa incorporado".

El código symbiote modifica el firmware de la máquina de forma aleatoria, lo que significa que "lo que un atacante puede aprender sobre un aparato concreto no le servirá para atacar a toda la serie de aparatos iguales", afirma Stolfo. "Tal y como están las cosas en la actualidad, cualquier exploit desarrollado por un atacante para un aparato concreto sirve para todos esos aparatos".

Los cofundadores de Red Balloon afirman que han firmado contratos con varias empresas y agencias del gobierno de Estados Unidos, pero no han revelado con quién trabajan; la start-up no tiene una relación formal con Cisco por el momento.

"Esta tecnología probablemente interese a ejércitos, gobiernos y bancos preocupados porque autores relacionados con los estados usen software malicioso como punto de partida para llevar a cabo espionaje y robar secretos industriales", afirma Justin Cappos, profesor de sistemas de seguridad en el Departamento de Informática de la Politécnica de la Universidad de Nueva York (EE.UU.). Pero añade que los vendedores de hardware tendrán que sentir que la demanda justifica el coste extra de endurecer los aparatos dentro de todas sus líneas de producto.

Que el sistema se adopte de forma generalizada dependerá de si fabricantes como HP creen que la tecnología les ayudará a vender más impresoras. "No estoy seguro de que el usuario medio esté preocupado porque se pueda piratear su impresora a distancia", afirma Cappos.