
Investigadores de la Universidad de Shandong han demostrado una nueva forma de extraer rápidamente datos de computadoras desconectadas de cualquier red. La tecnología, llamada TrojPix, modifica de forma invisible los píxeles de la pantalla, emitiendo una débil señal de radio desde el cable de vídeo que los transporta y que puede ser decodificada por un receptor cercano.
Sin embargo, TrojPix sólo funciona si el malware ya está presente en la máquina de destino, lo que lo convierte en una forma de que los datos robados salgan en lugar de entrar. En las pruebas de los investigadores, TrojPix alcanzó un rendimiento máximo de 8,1 Mbps y alcanzó hasta 208 metros. Los dos se midieron por separado en lugar de juntos.
La mayoría de los canales encubiertos con espacios de aire se mueven a bits por segundo o kilobits por segundo. A una velocidad de 8,1 megabits, o alrededor de 1 megabyte por segundo, TrojPix puede mover un archivo de 100 MB en menos de 2 minutos. Esto cambia la amenaza de filtrar contraseñas a mover archivos completos mientras el monitor parece estar apagado.
La cobertura del mundo real es otra cuestión. El receptor todavía tiene que superar paredes, escudos y ruido.
Los investigadores llaman al método «modulación de píxeles imperceptible» y dicen que no requiere privilegios administrativos ni cambios de hardware. El malware a nivel de usuario que puede aparecer en la pantalla es suficiente.
Conozca dos formas de ocultar su tráfico. Hace que parezca que la pantalla está apagada y la atenúa durante la transmisión. El otro integra la señal en lo que ya está en la pantalla, por lo que el contenido de apariencia normal lleva la carga útil.
El equipo informa que trabaja con nueve marcas de monitores y 15 cables de video, por lo que sus resultados no se limitan a una sola configuración.

Convertir cables de vídeo en transmisores secretos no es nada nuevo. Sus orígenes se remontan a un estudio de décadas de antigüedad conocido como TEMPEST que comprometió las fugas y, más recientemente, a estudios como TEMPEST-LoRa (CCS 2025), que utiliza el mismo truco para llegar a radios LoRa disponibles en el mercado, un popular estándar inalámbrico de largo alcance.
Su velocidad máxima fue de 87,5 metros o 21,6 kbps. El rendimiento máximo de TrojPix es cientos de veces mayor, pero las cifras no son directamente comparables ya que ambos utilizan receptores diferentes en condiciones diferentes.
Estos canales de liberación siguen siendo un estudio de laboratorio. Desde Stuxnet hasta Agent.BTZ, los ataques aislados que han surgido han cruzado la brecha en unidades USB en lugar de por aire. TrojPix y similares muestran lo que es posible, no lo que se ha capturado.
PIXHELL, otro canal basado en pantallas que The Hacker News cubrió en 2024, filtró datos de PC con espacios de aire al hacer que la propia pantalla emitiera sonido.
Mientras que otras empresas incorporan hardware para extraer datos de Ethernet, TrojPix evita este tipo de cambio de hardware.
Las emisiones en sí no se pueden eliminar con un parche. Las medidas son físicas y preventivas. Transmita vídeo a través de enlaces de fibra óptica, que no transportan dichas señales, en lugar de cables de cobre. Los datos justifican cables y salas blindados, como ya lo hacen las instalaciones con clasificación TEMPEST. Y, ante todo, mantenga el malware alejado de su máquina. Porque sin ese andamiaje, TrojPix no tendría nada que enviar.
Una vez que un atacante está dentro, un canal tan rápido podría permitir que los datos salgan mientras la pantalla permanece oscura.
Source link
