En estos días, los aeropuertos, los restaurantes de comida rápida e incluso los autobuses tienen estaciones de carga USB.¿Pero son seguros estos puertos públicos?¿Se puede piratear su teléfono o tableta si usa uno?¡Lo pusimos a la prueba!
Algunos expertos han sonado la alarma
Algunos expertos piensan que debería estar preocupado si ha utilizado una estación pública de carga USB. A principios de este año, los investigadores del grupo de pruebas de penetración de élite de IBM, X-Force Red, realizaron advertencias terribles sobre los riesgos asociados con las estaciones de carga pública.
«Conectar un puerto USB público es como encontrar un cepillo de dientes al costado de la carretera y decidir meterlo en la boca», dijo Caleb Barlow, vicepresidente de Analytics de amenazas en X-Force Red.»No tienes idea de dónde estaba eso».
Barlow señala que los puertos USB no solo transfieren la potencia, sino que también transfieren datos entre dispositivos.
Los dispositivos modernos lo ponen en control. No deberían aceptar datos de un puerto USB sin su permiso, por eso «confiar en esta computadora?»El aviso existe en el iPhone. Sin embargo, la violación de seguridad ofrece una forma de evitar esta protección. Esto no es cierto si simplemente conecta una fuente de alimentación confiable en un puerto eléctrico estándar. Sin embargo, con un puerto USB público, confía en una conexión que puede transferir datos.
Con un pequeño truco tecnológico, puede convertir un puerto USB en un arma y enviar malware a un teléfono conectado. Esto es especialmente cierto si el dispositivo ejecuta Android o una versión anterior de iOS y, por lo tanto, se retrasa en las actualizaciones de seguridad.
Todo esto suena aterrador, pero ¿estas advertencias se basan en problemas reales? Cavé más profundo para averiguarlo.
De la teoría a la práctica
Entonces, ¿son los ataques USB en dispositivos móviles puramente teóricos? La respuesta es inequívoco: no.
Los investigadores de seguridad han visto durante mucho tiempo las estaciones de carga como un potencial vector de ataque. En 2011, el veterano de seguridad de la información, Brian Krebs, incluso acuñó el término «exprimidor» para describir los exploits que aprovechan esto. A medida que los dispositivos móviles se mueven gradualmente hacia la adopción de masas, muchos investigadores se han centrado solo en este aspecto.
En 2011, Wall of Sheep, un evento no oficial en la Conferencia de Seguridad Defcon, implementó cabinas de carga que, cuando se usan, creó una ventana emergente en el dispositivo que advierte los peligros de conectarse a dispositivos no confiables.
Dos años más tarde, en el evento Blackhat USA, los investigadores del Instituto de Tecnología de Georgia demostraron una herramienta que podría disfrazarse de una estación de carga e instalar malware en un dispositivo que ejecuta la última versión de iOS en ese momento.
Podría continuar, pero se entiende la idea. La pregunta más pertinente es si el descubrimiento de Juice Jacking se convirtió en ataques reales. Aquí es donde las cosas se ponen un poco turbias.
Comprender el riesgo
Si bien «Juice Jacking» es un área popular de enfoque para los investigadores de seguridad, prácticamente no hay ejemplos documentados de atacantes que usen este enfoque como arma. Gran parte de la cobertura de los medios se centra en la prueba de concepto de investigadores que trabajan para instituciones como universidades y empresas de seguridad de la información. Esto es probable porque es difícil convertir una estación de carga pública en un arma.
Para hackear una estación de carga pública, un atacante debe obtener ciertos equipos (por ejemplo, una computadora miniaturizada para implementar malware) e instalarlo sin ser atrapado. Intente hacer esto en un aeropuerto internacional ocupado donde los pasajeros están bajo un intenso escrutinio y la seguridad confisca herramientas, como destornilladores, en el check-in. El costo y el riesgo hacen que el ocultamiento sea fundamentalmente inadecuado para los ataques dirigidos al público en general.
También hay un argumento de que estos ataques son relativamente ineficaces. Solo pueden infectar dispositivos que están conectados a una salida de carga. Además, a menudo dependen de los agujeros de seguridad que los fabricantes de sistemas operativos móviles como Apple y Google parchean regularmente.
De hecho, si un hacker irrumpe en una estación de carga pública, es probable que parte de un ataque dirigido a un individuo de alto valor, no un viajero que necesita quitarle unos pocos por ciento de su carga de batería en el camino al trabajo.
Seguridad primero
El propósito de este artículo no es minimizar los riesgos de seguridad planteados por los dispositivos móviles. Los teléfonos inteligentes a veces se usan para difundir malware. También se han infectado casos de teléfonos cuando se conectan a una computadora que tiene malware instalado en ella.
En un artículo de 2016 de Reuters, Mikko Hyponen, quien en realidad es la cara pública de F-Secure, describió un tipo de malware Android particularmente peligroso que esto afectó a un fabricante europeo de aviones.
«Hipponen dijo que recientemente habló con un fabricante europeo de aviones que dijo que limpia los cabinas de sus aviones cada semana de malware diseñado para teléfonos Android. El malware solo se extendió a los aviones porque los empleados de la planta estaban cobrando sus teléfonos a través de un puerto USB en la cabina», dijo el artículo.
«Dado que el avión ejecuta un sistema operativo diferente, no le pasará nada. Pero transmitirá el virus a otros dispositivos conectados al cargador».
Usted compra un seguro de casa no porque espera que su casa se queme, sino porque necesita planificar el peor de los casos. Del mismo modo, debe tomar precauciones razonables al usar estaciones de carga para computadoras. Si es posible, use una salida de pared estándar en lugar de un puerto USB. De lo contrario, considere cargar una batería portátil en lugar de su dispositivo. También puede enchufar una batería portátil y cargar su teléfono mientras se carga. En otras palabras, si es posible, evite conectar su teléfono directamente a cualquier puerto USB público.
Si bien hay pocos riesgos documentados, siempre es mejor reasegurarse. Como regla general, no conecte sus dispositivos a puertos USB en los que no confíe.
