Supongamos por un momento que tu equipo de trabajo acaba de imprimir el borrador de un contrato del proyecto que llevas meses tratando de coordinar, las nóminas confidenciales de todo el personal de la empresa y los resultados de una auditoría interna comprometedora. Los documentos salen de la impresora sin problemas, como siempre. Lo que nadie en tu oficina sabe es que, en ese mismo instante, un atacante en algún lugar del mundo está descargando una copia exacta de todos esos archivos. No ha necesitado malware sofisticado, ni ha explotado una vulnerabilidad de día cero. Solo ha aprovechado un hecho indiscutible: la impresora de tu oficina es, casi con seguridad, uno de los dispositivos más vulnerables de toda la red corporativa, y lo peor es que nadie o casi nadie está haciendo nada al respecto.
Esto no se trata de pura ficción, mis estimados lectores de cada viernes, en Código Seguro. La realidad es que ocurre de forma muy frecuente. Según un estudio a nivel global, el 83% de las empresas han experimentado al menos un incidente de seguridad relacionado con impresoras. Hace más de tres décadas que se sueña con la idea de una oficina sin papel. Sin embargo, hoy día las impresoras siguen siendo uno de los dispositivos más esenciales para el trabajo diario y el común de los usuarios a nivel internacional. En lugar de eliminarlas, las impresoras han pasado de ser simples dispositivos a complejos sistemas informáticos en red, instalados directamente en las redes de las empresas, y que transportan considerables datos confidenciales en sus trabajos de impresión. Esto por su puesto que las convierte en un atractivo objetivo de ataque.
Para entender la magnitud del problema que estas representan, hay que adentrarse en cómo funcionan realmente las impresoras modernas. A diferencia de los modelos antiguos, que eran dispositivos “simples””, las impresoras actuales ejecutan sistemas operativos embebidos (como versiones personalizadas de Linux o VxWorks), tienen procesadores con arquitecturas ARM o MIPS, memoria RAM y, en muchos casos, incorporan unidades de almacenamiento no volátil (ya sean discos duros tradicionales o memorias flash NAND) que retienen copias temporales —o en algunos casos persistentes— de los documentos procesados.
El primer problema muchas veces es el firmware. La mayoría de los fabricantes no proporcionan actualizaciones de seguridad de manera proactiva, y cuando lo hacen, las empresas rara vez las aplican. Esto deja abiertas vulnerabilidades críticas, como CVE-2021-3438, un fallo en el firmware de ciertas impresoras HP que permitía la ejecución remota de código simplemente enviando un paquete malicioso al puerto 9100.
Pero el firmware fue solo el comienzo. El protocolo PJL (Printer Job Language), usado para gestionar colas de impresión, es particularmente peligroso. A través de comandos PJL, un atacante puede:
- Leer y escribir archivos en el sistema de archivos interno de la impresora (donde a menudo se almacenan copias temporales de documentos).
- Redirigir trabajos de impresión a otra máquina (exfiltración silenciosa de datos).
- Modificar configuraciones críticas, como el servidor LDAP al que se conecta la impresora para autenticar usuarios.
Y esto nos lleva al segundo gran problema: el almacenamiento persistente. Cuando imprimes un documento, especialmente en impresoras láser de gama media/alta, una copia del archivo puede quedar almacenada en el disco duro de la impresora incluso después de reiniciarla. En el 2022 varias investigaciones demostraron en 2022 que el 68% de las impresoras corporativas analizadas retenían documentos sensibles en su almacenamiento interno, accesibles mediante ataques físicos o remotos si el cifrado no estaba habilitado (y casi nunca lo está por defecto).
Cuando la teoría se vuelve realmente una pesadilla: En octubre de 2021, un hospital alemán tuvo que posponer cirugías críticas después de que un atacante comprometiera su red a través de una impresora multifunción. El dispositivo, que aún usaba credenciales de fábrica (admin/12345), sirvió como punto de entrada para un ransomware que cifró los sistemas de historiales médicos. Lo más alarmante: el ataque no fue sofisticado. Los logs mostraron que el atacante había probado solo tres combinaciones de usuario/contraseña antes de obtener acceso.
Otro caso paradigmático ocurrió en el 2020, cuando investigadores de seguridad encontraron más de 80 000 impresoras expuestas en Internet a través del servicio IPP (del inglés Internet Printing Protocol). Muchas de ellas permitían imprimir documentos sin autenticación alguna. Peor aún, el 11% tenían el panel de administración accesible públicamente, con contraseñas como “admin” o directamente en blanco.
¿Cómo se explotan estas vulnerabilidades? A continuación les describo técnicamente cómo sería un flujo de un ataque real):
- Reconocimiento: Un atacante escanea la red corporativa buscando impresoras con puertos abiertos (9100 para PCL, 515 para LPD, 631 para IPP). Herramientas como PRET (del inglés Printer Exploitation Toolkit) automatizan este proceso.
- Acceso inicial: Si la impresora tiene credenciales predeterminadas (como “admin:admin” en modelos Xerox o “root:password” en algunas Ricoh), el atacante gana control total. Si no, puede tratar de explotar otras vulnerabilidades conocidas para lograr el acceso.
- Exfiltración de datos: Usando comandos PJL o accediendo al sistema de archivos interno, el atacante extrae documentos recientes. En impresoras con escáner, puede configurar el envío automático de copias escaneadas a un servidor FTP externo.
- Movimiento lateral: Desde la impresora, el atacante salta a otros sistemas usando técnicas como ARP spoofing (la impresora suele tener permisos de red amplios) o explotando vulnerabilidades en protocolos como SNMP (del inglés, Simple Network Management Protocol, usado para monitorear dispositivos).
Algunas soluciones técnicas que podemos implementar, más allá de cambiar la contraseña o actualizar el firmware pudieran ser:
- Segmentación de red: Las impresoras deben estar en una VLAN separada, con reglas de firewall que restrinjan tráfico entrante/saliente. No deberían poder iniciar conexiones a Internet.
- Cifrado de almacenamiento: Activar FDE (Full Disk Encryption) si la impresora lo soporta (disponible en modelos empresariales de HP, Xerox).
- Hardening de servicios: Deshabilitar protocolos innecesarios (Telnet, FTP), forzar TLS 1.2+ para IPPS (versión segura de IPP) y configurar autenticación de dos factores en el panel de administración.
- Monitoreo proactivo: Incluir las impresoras en los sistemas de Gestión de Eventos e Información de Seguridad (SIEM), alertando sobre intentos de acceso a /etc/passwd (en impresoras Linux) o comandos PJL sospechosos.
La próxima vez que camines por tu oficina y escuches el sonido familiar de una impresora trabajando, recuerda: ese dispositivo aparentemente inofensivo puede ser la puerta trasera que de acceso a tus datos más sensibles. No es cuestión de “si” ocurrirá un ataque, sino de “cuándo”.
Los departamentos de Tecnología e Información (TI) deben dejar de tratar las impresoras como periféricos triviales y empezar a gestionarlas como lo que realmente son: nodos críticos de la infraestructura de seguridad. Porque en el mundo actual, donde los ataques son cada vez más automatizados y rentabilizados, ignorar este riesgo no es un error, puede convertirse en una negligencia.
Tomado de Cubadebate
