Mastodon Mastodon Mastodon Mastodon

Cómo TrojPix usa cables de vídeo para filtrar datos de redes aisladas

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Investigadores de la Universidad de Shandong han presentado el método TrojPix, una técnica de exfiltración de datos desde ordenadores físicamente aislados (air-gapped) que utiliza una modulación imperceptible de píxeles en la pantalla para generar una señal de radiofrecuencia a través del cable de vídeo. Según los investigadores, la capacidad de canal pico alcanza los 8,1 Mbit/s y el alcance llega hasta los 208 metros, lo que supera en varios órdenes de magnitud los canales encubiertos de este tipo conocidos hasta ahora. El método requiere la infección previa de la máquina objetivo con software malicioso y no es un vector de intrusión inicial: se trata exclusivamente de un canal de salida para datos robados. El trabajo ha sido aceptado para su publicación en la conferencia USENIX Security 2026.

Cómo funciona la modulación imperceptible de píxeles

El método que los autores denominan imperceptible pixel modulation se basa en el hecho de que cualquier cable de vídeo de cobre (HDMI, VGA, DisplayPort) genera emisiones electromagnéticas secundarias al transmitir la señal. TrojPix forma de manera intencionada patrones de píxeles invisibles para el ojo humano, pero que generan una señal de radiofrecuencia predecible que puede ser decodificada por un receptor a distancia.

Según se indica, para que TrojPix funcione no se requieren privilegios de administrador ni son necesarias modificaciones de hardware: basta con software malicioso a nivel de usuario capaz de mostrar imágenes en pantalla. Los investigadores describen dos modos de camuflaje:

  • Imitación de pantalla apagada: la pantalla permanece en negro mientras continúa la transmisión encubierta. Para un observador, el monitor parece apagado.
  • Incrustación en contenido normal: la señal se codifica dentro de la imagen normal mostrada en la pantalla y, visualmente, el contenido no se diferencia de lo habitual.

Según los investigadores, la técnica se probó con nueve marcas de monitores y quince tipos de cables de vídeo, lo que indica la universalidad del enfoque. Sin embargo, hay que tener en cuenta que las cifras de 8,1 Mbit/s y 208 metros se obtuvieron en condiciones de laboratorio y se midieron por separado, no de forma simultánea. En entornos reales, paredes, apantallamiento e interferencias electromagnéticas reducirán considerablemente ambos parámetros.

Contexto: de TEMPEST a los canales encubiertos modernos

El uso de emisiones electromagnéticas secundarias para interceptar datos no es una idea nueva. El programa TEMPEST, que estudia las emisiones comprometedoras del equipamiento electrónico, existe desde hace décadas. Sin embargo, TrojPix destaca frente a sus predecesores por su velocidad de transmisión. La mayoría de los canales encubiertos conocidos para sistemas aislados funcionan a velocidades de entre unos pocos bits y kilobits por segundo.

A modo de comparación, el método TEMPEST-LoRa, que utiliza un principio similar con receptores del estándar LoRa, según los investigadores alcanzó 21,6 kbit/s con un alcance de 87,5 metros. La capacidad declarada de TrojPix supera esa cifra en varios cientos de veces, aunque la comparación directa no es del todo correcta debido a las diferencias en los receptores y en las condiciones de prueba.

A una velocidad de 8,1 Mbit/s, un archivo de 100 MB podría transmitirse teóricamente en menos de dos minutos. Esto cambia de forma sustancial el modelo de amenazas: en lugar de una fuga lenta de contraseñas o claves de cifrado, se abre la posibilidad de transmitir bases de datos completas o archivos de documentos.

Al mismo tiempo, es importante subrayar que todos estos canales basados en emisiones electromagnéticas siguen siendo investigaciones de laboratorio. Los ataques reales contra sistemas aislados —Stuxnet, Agent.BTZ— superaron la barrera de aire mediante unidades USB, y no a través de canales de radio.

Quién está en la zona de riesgo

TrojPix representa una amenaza potencial para las organizaciones que confían en el aislamiento físico como principal línea de defensa de datos críticos:

  • Instalaciones militares y de inteligencia con redes clasificadas
  • Sistemas de control industrial (АСУ ТП / SCADA) en infraestructuras críticas
  • Entidades financieras con segmentos aislados para el procesamiento de transacciones
  • Laboratorios de investigación con propiedad intelectual confidencial

La limitación clave es la necesidad de una infección previa de la máquina objetivo. Sin software malicioso en el ordenador aislado, TrojPix es inútil. Esto reduce de forma considerable la aplicabilidad práctica, pero no elimina por completo la amenaza: la historia demuestra que introducir código malicioso en redes aisladas es posible mediante cadenas de suministro, insiders o soportes extraíbles infectados.

Recomendaciones de protección

Es imposible eliminar por medios de software las emisiones electromagnéticas secundarias de un cable de cobre: se trata de una propiedad física del conductor. La protección se construye en varios niveles:

  • Conexiones de vídeo por fibra óptica: sustituir los cables de vídeo de cobre por fibra óptica elimina por completo las emisiones de radiofrecuencia como canal de fuga.
  • Apantallamiento de salas y cables: las instalaciones certificadas según los estándares TEMPEST ya incluyen estas medidas. Para el resto, es necesario evaluar la conveniencia del apantallamiento en función de la clasificación de los datos tratados.
  • Control de la integridad del entorno de software: evitar la infección de sistemas aislados sigue siendo la medida principal. Control estricto de soportes extraíbles, verificación de la cadena de suministro de software y monitorización de actividad anómala a nivel de usuario.
  • Monitorización del espectro de radiofrecuencia: para instalaciones con un nivel de amenaza elevado, es razonable controlar el entorno electromagnético en las proximidades de los sistemas aislados.

TrojPix demuestra que el aislamiento físico de la red no equivale a una seguridad absoluta de los datos. Las organizaciones que protegen información crítica en segmentos aislados deberían auditar las conexiones de vídeo para detectar el uso de cables de cobre y valorar la conveniencia de migrar a fibra óptica, así como asegurarse de que las medidas para prevenir la infección de máquinas aisladas estén en consonancia con el nivel de los datos que protegen.


CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.