Hoy en día, los aeropuertos, restaurantes de comida rápida e incluso los autobuses tienen estaciones de carga USB. Pero, ¿Estos puertos públicos son seguros? Si usas uno, ¿Podrían hackear tu teléfono o tablet? Te lo contaré, aquí.
Algunos expertos nos hablan sobre esto
Los expertos creen que todos los que hemos usado estaciones de carga USB deberíamos esta preocupados. A principios de este año, los investigadores de pruebas de penetración de élite de IBM, X-Force Red, emitieron advertencias terribles sobre los riesgos asociados con las estaciones de carga públicas.
“Conectarse a un puerto USB público es como encontrar un cepillo de dientes a un lado de la carretera y decidir utilizarlo”, dijo Caleb Barlow, vicepresidente de inteligencia de amenazas de X-Force Red. “No tienes idea de dónde ha estado esa cosa antes”.
Barlow señala que los puertos USB no sólo transmiten energía, sino también transfieren datos entre dispositivos.
Los dispositivos modernos ahora te dan señales y te advierten siempre, con mensajes que dicen lo siguiente: ¿Confías en este dispositivo? Con un puerto USB público tú estás permitiendo que todos tus datos puedan transportarse a destinos desconocidos donde podrían tomar tu información y usarla en tu contra.
Los Hackers arman un puerto USB y a través de ellos enviar malwares a teléfonos conectados.
Todo esto suena aterrador, pero. ¿Están estas advertencias basadas en situaciones de la vida real? Tiene que cavar más profundo para poder averiguarlo.
De la teoría a la práctica
Entonces, ¿Los ataques desde puertos USB contra dispositivos móviles son pura o teoría o si están ocurriendo en la actualidad? La respuesta es sí, están ocurriendo.
Los investigadores han considerado durante mucho tiempo a las estaciones de carga como un vector potencial de ataque.
En el año 2011, un evento paralelo a la conferencia de seguridad de Defcon, desplegó cabinas de carga que, cuando se utilizan, crean una ventana emergente en el dispositivo que advierte sobre los peligros de conectarse a dispositivos no confiables.
Dos años más tarde, en el evento Blackhat USA, investigadores de Georgia Tech mostraron una herramienta que podía disfrazarse de estación de carga e instalar un malware en un dispositivo que ejecutaba la última versión de iOS.
Podría continuar alarmándolos pero creo que ya entienden la idea. Esta modalidad se ha denomida “Juice Hacking” y ha puesto las cosas mucho más turbias y peligrosas que antes.
Entendiendo el riesgo
A pesar de ser un área de interés popular para los investigadores de seguridad, apenas hay ejemplos documentados de atacantes que apliquen esta modalidad. La mayor parte de la cobertura de los medios de comunicación se centra en las pruebas de los investigadores que trabajan para instituciones como universidades y empresas de seguridad. Lo más probable es que esto se deba a que es intrínsecamente difícil armar una estación de carga pública.
Para piratear una estación de carga pública, el atacante tendría que obtener un hardware específico (como un ordenador en miniatura para desplegar malware) e instalarlo sin ser descubierto. Intente hacerlo en un aeropuerto internacional muy concurrido, donde los pasajeros están bajo un intenso escrutinio y el personal de seguridad confisca herramientas, como destornilladores, en el momento del check-in. El costo y el riesgo hacen que el Juice Hacking sea muy difícil de orquestar.
Además, estos ataques son relativamente ineficientes. Sólo pueden infectar dispositivos que estén conectados a una toma de carga. A menudo, se basan en agujeros de seguridad que los fabricantes de sistemas operativos como Apple y Google siempre están revisando.
Siendo realistas, si un Hacker interfiere con una estación de carga pública, es probable que sea parte de un ataque selectivo contra una persona muy importante, no está dirigido a un viajero que necesita aumentar su batería.
La seguridad es lo primero
Los teléfonos inteligentes se utilizan a veces para propagar malware. También ha habido casos de teléfonos que han sido infectados mientras estaban conectados a una computadora que albergaba un software malicioso.
En un artículo de Reuters de 2016, Mikko Hypponen, que es la imagen pública de F-Secure, describió una cepa particularmente perniciosa de malware Android que afectó a un fabricante europeo de aviones.
"Hypponen dijo que había hablado recientemente con un fabricante de aviones europeo que dijo que cada semana limpia las cabinas de sus aviones de malware diseñado para teléfonos Android. El malware se propagó a los aviones sólo porque los empleados de la fábrica cargaban sus teléfonos con el puerto USB de la cabina", decía el artículo.
"Como el avión funciona con un sistema operativo diferente, no le ocurriría nada. Pero pasaría el virus a otros dispositivos que se conectaron al cargador".
No compras un seguro de hogar porque esperas que tu casa se queme, sino porque tiene que prepararte para el peor de los casos. Del mismo modo, debes tomar precauciones sensatas cuando utilices estaciones de carga públicas. Siempre que sea posible, utiliza un enchufe de pared estándar, en lugar de un puerto USB. De lo contrario, considera cargar una batería portátil. En otras palabras, siempre que sea posible, evita conectar tu teléfono directamente a cualquier puerto USB público.
Aunque hay poco riesgo documentado, siempre es mejor prevenir que lamentar. Como regla general, evita conectar tus cosas a puertos USB en los que no confíes.