Seguramente si escucha a alguien afirmar que, una vez apagado el ordenador, continúa siendo posible acceder al contenido de la memoria RAM, lo más probable es que le dé dos golpecitos en la espalda, sonría bondadosamente y le diga 'sí hijo, sí... y las brujas vuelan con escoba'. Una de las primeras cosas que aprendemos de la memoria RAM es que únicamente conserva su contenido mientras recibe alimentación. Si el suministro falla o se interrumpe, todo lo que había en la RAM, desaparece.

Pero en realidad no es exactamente así. La memoria utilizada en los ordenadores actuales conserva su contenido durante un tiempo después de cortar el subministro eléctrico. Pueden ser desde varios segundos hasta algunos minutos, perdiendo la información de forma progresiva hasta que, pasado un tiempo, queda en blanco.

¿Se puede hacer algo con esta memoria mientras todavía conserva algo de información? Unos investigadores de Princeton lo han estudiado y los resultados son impresionantes: Congelando los chips de RAM se puede extraer la memoria de un ordenador y continúa almacenando la información hasta 10 minutos.

Pero más preocupante es la posibilidad de apagar un ordenador, arrancarlo con un disco externo y realizar un volcado del contenido de la memoria. ¿Qué información de interés hay en esa memoria? Todo lo que tenía almacenado el ordenador justo antes de apagarlo y que todavía no se ha borrado.

Una de las primeras aplicaciones de todo esto es saltarse los sistemas de cifrado de disco, considerados hasta la fecha como el mejor método para preservar la información en caso de robo o pérdida del portátil. Han desarrollado un programa que busca en el volcado de la memoria la presencia de las claves de cifrado utilizado por BitLocker de Windows Vista (aunque el mismo concepto también funciona con el FileVault de MacOS, TrueCrypt o dm-crypt de Linux). Obtenida la clave de cifrado, el acceso a la información del disco es una tarea trivial.

¿Qué es necesario para poder realizar este ataque? Acceso al ordenador encendido, conectar un disco externo, apagarlo y volver a encenderlo. Pero hay más: en aquellos PC que arrancan directamente en la pantalla de conexión de Windows Vista, se puede obtener la clave de cifrado del disco duro incluso si el ordenador estaba apagado, ya que el hecho de arrancar el ordenador provocará la carga de la clave en memoria.

Esta es únicamente una de las primeras aplicaciones prácticas. Es probable que se encuentren otras utilidades para acceder al contenido de la memoria de los ordenadores aplicando este procedimiento.

Los investigadores han publicado un completo artículo de investigación, así como un video que explica de forma muy comprensible como funciona todo esto:

También hay disponible una guía de experimentación para que podamos comprobar nosotros mismo la persistencia de la memoria una vez apagado un ordenador.