Underc0de - La Casa de los Informáticos

Foros Generales => Noticias Informáticas => Mensaje iniciado por: Dragora en Julio 06, 2026, 02:15:23 PM

Título: TrojPix: nuevo ataque roba datos de PCs aislados
Publicado por: Dragora en Julio 06, 2026, 02:15:23 PM
(https://i.imgur.com/6pUragU.jpeg)

La seguridad de los sistemas air-gapped, es decir, equipos completamente desconectados de Internet y de cualquier red corporativa, ha sido durante años una de las principales estrategias para proteger información altamente confidencial. Sin embargo, una nueva investigación demuestra que incluso estos entornos pueden ser vulnerables cuando un atacante consigue introducir malware en el dispositivo.

Investigadores de la Universidad de Shandong han desarrollado una innovadora técnica denominada TrojPix, un método de exfiltración de datos que aprovecha las emisiones electromagnéticas generadas por los cables de video para transmitir información confidencial sin necesidad de conexión a Internet, Wi-Fi, Bluetooth o cualquier otro canal de comunicación tradicional.

Aunque el ataque todavía se encuentra en un entorno experimental, sus resultados representan un importante avance en el campo de los ataques por canales encubiertos (covert channels) y reavivan el debate sobre la protección de infraestructuras críticas, organismos gubernamentales, centros de investigación y organizaciones militares que dependen de equipos aislados para resguardar información sensible.

¿Qué es TrojPix y cómo funciona?

TrojPix es una técnica de exfiltración de datos diseñada para extraer información de computadoras completamente aisladas de cualquier red.

A diferencia de los ataques convencionales, este método no sirve para infectar un equipo, sino para sacar información una vez que el atacante ya ha logrado instalar malware en la máquina objetivo.

El funcionamiento de TrojPix se basa en un principio conocido desde hace décadas dentro del ámbito de la seguridad electromagnética: las señales eléctricas que circulan por determinados componentes de un ordenador generan pequeñas emisiones de radio que pueden ser captadas por receptores cercanos.

En este caso, el malware modifica de forma extremadamente sutil determinados píxeles de la pantalla, realizando cambios invisibles para el ojo humano. Estas alteraciones provocan variaciones en la señal que circula por el cable de video, convirtiéndolo accidentalmente en un pequeño transmisor de radio.

Un receptor especialmente preparado puede captar dichas emisiones, decodificarlas y reconstruir la información enviada por el malware.

Un rendimiento muy superior al de otros canales encubiertos

Uno de los aspectos que más ha sorprendido a la comunidad de ciberseguridad es la velocidad alcanzada por TrojPix.

Durante las pruebas realizadas por los investigadores, el sistema logró transmitir datos a una velocidad máxima de 8,1 Mbps, equivalente aproximadamente a 1 MB por segundo.

Esto supone una mejora enorme respecto a la mayoría de los ataques por canales laterales desarrollados hasta la fecha.

Mientras muchos métodos similares apenas consiguen transmitir algunos bits o kilobits por segundo, TrojPix podría enviar un archivo de 100 MB en menos de dos minutos, siempre que las condiciones del entorno sean favorables.

Los investigadores también registraron un alcance máximo de 208 metros, aunque aclaran que tanto la velocidad como la distancia fueron medidas por separado y no de manera simultánea.

En escenarios reales, factores como paredes, estructuras metálicas, interferencias electromagnéticas y otras fuentes de ruido podrían reducir considerablemente la distancia efectiva del ataque.

No requiere privilegios elevados ni modificaciones de hardware

Otra característica especialmente llamativa de TrojPix es que no necesita permisos de administrador para funcionar.

Según el estudio, basta con que el malware tenga permisos suficientes para modificar el contenido mostrado en pantalla.

Esto significa que el ataque puede ejecutarse desde aplicaciones con privilegios de usuario estándar, sin alterar el hardware del equipo ni instalar dispositivos físicos adicionales.

Los investigadores describen dos métodos principales para ocultar la transmisión de datos:

Simulación de pantalla apagada

En el primer escenario, el malware hace creer al usuario que el monitor permanece apagado mientras continúa modificando los píxeles necesarios para transmitir la información.

Desde la perspectiva del usuario, la pantalla parece completamente inactiva.

Transmisión oculta sobre contenido normal

La segunda técnica inserta la señal dentro del contenido que ya se muestra en pantalla.

Las alteraciones son tan pequeñas que resultan imperceptibles para el ojo humano, permitiendo que documentos, aplicaciones o escritorios continúen viéndose con total normalidad mientras los datos son transmitidos de forma encubierta.

Compatible con múltiples monitores y cables

Los investigadores evaluaron TrojPix utilizando una amplia variedad de configuraciones de hardware.

El estudio demuestra compatibilidad con:


Este resultado indica que la técnica no depende de un fabricante específico ni de un único tipo de conexión, lo que incrementa su relevancia desde el punto de vista de la investigación en seguridad.

Una evolución de décadas de investigaciones TEMPEST

Aunque TrojPix representa un avance importante, el concepto no es completamente nuevo.

Desde hace décadas existen investigaciones relacionadas con las denominadas emisiones comprometedoras, conocidas bajo el programa TEMPEST, que estudia cómo los equipos electrónicos pueden filtrar información mediante emisiones electromagnéticas involuntarias.

Gobiernos y organizaciones militares llevan años utilizando salas protegidas, cables especialmente blindados y normas estrictas para evitar este tipo de filtraciones.

Más recientemente surgieron investigaciones como TEMPEST-LoRa, presentada durante CCS 2025, que utilizaba principios similares para convertir cables de video en transmisores compatibles con redes inalámbricas LoRa.

Sin embargo, aquel sistema alcanzaba únicamente unos 21,6 Kbps y una distancia aproximada de 87,5 metros, cifras muy inferiores al rendimiento conseguido por TrojPix.

Los propios investigadores recuerdan que ambas investigaciones utilizan receptores y condiciones diferentes, por lo que los resultados no constituyen una comparación directa.

Los ataques air-gap siguen siendo poco frecuentes

A pesar del impresionante rendimiento demostrado por TrojPix, los especialistas recuerdan que este tipo de ataques continúan siendo extremadamente complejos fuera del laboratorio.

La principal dificultad reside en conseguir infectar previamente un equipo completamente aislado.

Históricamente, los ataques más conocidos contra sistemas air-gapped utilizaron medios físicos como memorias USB.

El ejemplo más famoso continúa siendo Stuxnet, el sofisticado malware que comprometió instalaciones nucleares mediante dispositivos USB infectados.

Otro caso ampliamente documentado fue Agent.BTZ, que también logró propagarse utilizando unidades extraíbles.

Hasta el momento, no existen evidencias públicas de campañas reales que hayan utilizado emisiones de radio similares a TrojPix para extraer información de forma masiva.

TrojPix se suma a otras investigaciones sobre canales encubiertos

Durante los últimos años han aparecido múltiples investigaciones centradas en nuevas formas de filtrar información desde equipos aislados.

Uno de los trabajos más llamativos fue PIXHELL, presentado en 2024, que conseguía utilizar la propia pantalla como un emisor acústico para transmitir datos mediante sonidos prácticamente imperceptibles.

Otros estudios han explorado la posibilidad de extraer información utilizando ventiladores, discos duros, fuentes de alimentación, memoria RAM, LEDs, cables Ethernet e incluso fluctuaciones en el consumo eléctrico.

TrojPix amplía esta lista demostrando que los cables de video también pueden convertirse en un canal de comunicación encubierto de alta velocidad.

¿Cómo protegerse frente a TrojPix?

Aunque resulta imposible eliminar completamente las emisiones electromagnéticas generadas por los componentes electrónicos, existen diversas medidas que reducen significativamente el riesgo.

Entre las principales recomendaciones destacan:


En fin...

La investigación sobre TrojPix demuestra que la protección de los sistemas air-gapped sigue evolucionando junto con las técnicas de ataque. Aunque este método no permite comprometer por sí solo una computadora aislada, sí representa un canal de exfiltración extremadamente rápido una vez que el malware consigue infiltrarse en el sistema.

Su capacidad para transmitir información a velocidades de hasta 8,1 Mbps utilizando únicamente modificaciones imperceptibles en los píxeles de la pantalla convierte a TrojPix en uno de los canales encubiertos más avanzados presentados hasta la fecha. Si bien su explotación en escenarios reales aún no ha sido documentada, el estudio pone de manifiesto la importancia de reforzar tanto la seguridad física como las estrategias de prevención de malware, especialmente en organizaciones que manejan información crítica o clasificada. La mejor defensa continúa siendo impedir que el código malicioso llegue al equipo, ya que sin ese punto de apoyo inicial, TrojPix carece de cualquier posibilidad de extraer datos.

Fuente: https://thehackernews.com/