En general, conectar su teléfono a un dispositivo o toma de corriente desconocido, como una computadora, un dispositivo de almacenamiento o cualquier otro tipo de memoria USB, no es una decisión segura. Entonces, ¿qué tal esas estaciones de carga gratuitas que puedes encontrar en aeropuertos o quioscos en lugares públicos, algunas de las cuales también cobran una tarifa nominal? Bueno, técnicamente son una opción arriesgada. ¿Cómo? Desde hace una década, ha habido un acalorado debate sobre el vector de ataque llamado jugo de secuestro. La idea es que los piratas informáticos puedan manipular una interfaz USB, que parece estar disponible para cargar teléfonos y otros dispositivos electrónicos, para generar malware con fines maliciosos.
La mejor manera de avanzar es evitar este tipo de enchufes de carga. Pero nunca se sabe cuándo se encontrará en una situación en la que su teléfono esté a punto de apagarse y no pueda encontrar una toma de carga. O simplemente no tienes un kit de carga. Para tales escenarios, los expertos recomiendan bloqueadores de USB, como esta unidad de 15 dólares de OffGrid. También puede encontrar unidades USB con bloqueo de datos que cuestan aproximadamente la mitad del precio. Alternativamente, puede invertir en cables especiales, como este de Pluggable, que carecen de líneas de datos pero admiten hasta 240 W de consumo de energía.
Su único objetivo es garantizar que, aparte de la energía eléctrica, nada pase a través de la interfaz USB. En pocas palabras, si los delincuentes han modificado el puerto USB de una estación de carga, ese puerto no podrá transferir ningún dato corrupto a su teléfono. En cambio, toda la funcionalidad del dispositivo USB se bloqueará para transferir energía y cargar únicamente su dispositivo.
un vector de amenaza engañosamente simple
En 2011, en la famosa conferencia Defcon, dos expertos en ciberseguridad demostraron que las tomas de carga USB no son seguras. Los dos expertos instalaron un quiosco de carga gratuito en el lugar y más de 300 visitantes conectaron sus teléfonos allí, pero recibieron un mensaje de advertencia. Uno de los expertos detrás de la idea le dijo a Vox: “Si puedo hacer eso y puedo engañar a cientos de los mejores profesionales de todo el mundo para que lo utilicen, creo que el ciudadano promedio de la cuadra caerá en la trampa”.
La idea básica detrás del Juice Jacking es que los dispositivos basados en USB (la unidad y el cable) tienen un doble propósito. Pueden transferir energía eléctrica y también permitir el movimiento de datos bidireccional. En esto último es donde asoman los riesgos. Hasta ahora, no ha habido informes de explotación o abuso a gran escala de estaciones de carga USB públicas para propagar malware, pero la amenaza persiste. Y cuando los gobiernos estatales, las administraciones distritales y las empresas de seguridad cibernética empiezan a señalar los riesgos, es mejor ir a lo seguro que lamentarse una vez hecho el daño.
Hace casi dos años, la Oficina Federal de Investigaciones (FBI) emitió una advertencia sobre el uso de estaciones de carga públicas en aeropuertos, restaurantes y centros de transporte. “Los malos actores han descubierto formas de utilizar puertos USB públicos para introducir malware y software de vigilancia en los dispositivos”, escribió la agencia. A lo largo de los años, Apple ha creado un sistema que sólo permite la transferencia de datos con una conexión USB si los usuarios lo designan manualmente como un dispositivo “confiable”. Los dispositivos Android también funcionan en modo de solo carga de forma predeterminada, a menos que los usuarios cambien su comportamiento para permitir la transferencia de datos.
Hay muchas dudas, pero es mejor ir a lo seguro.
Cuando el FBI emitió por primera vez una advertencia sobre los riesgos de utilizar estaciones de carga públicas, recibió amplia cobertura. Sin embargo, también existe un considerable escepticismo sobre los riesgos reales. “No hay mucha evidencia que demuestre que el ‘juice jacking’ sea un problema generalizado”, dijo a Slate Zulfiqar Ramzan, científico jefe de una empresa de ciberseguridad de consumo llamada Aura. El evangelista de ciberseguridad de CyberArk, Andy Thompson, también le dijo al medio que no existe el robo de jugo. Los expertos dijeron que esto es un riesgo si se ve desde una perspectiva de prueba de concepto.
En pocas palabras, es técnicamente posible y, por tanto, representa una amenaza real. El experto en ciberseguridad Mike Grover dijo a ArsTechnica que “no es algo que deba recalcarse ante el público en general”. Pero sólo porque algo sea técnicamente viable no significa que pueda implementarse para un robo generalizado de jugo, o lo ha sido. La falta de pruebas, o la falta de víctimas, que puedan demostrar de manera concluyente que los ataques de jugo se dirigieron a ellos es muy sorprendente, especialmente cuando agencias como el FBI y la FCC se lanzan al debate.
“El malware instalado a través de un puerto USB dañado puede bloquear un dispositivo o exportar datos personales y contraseñas directamente al perpetrador”, dice el aviso de la FCC. Sin embargo, la página web ahora está bloqueada para el acceso público, aunque aún se puede leer la versión archivada. Cuando el medio se puso en contacto con estas agencias, no encontró ningún detalle sobre casos reales de robo de jugo o víctimas. En 2019, la oficina del fiscal de distrito de Los Ángeles emitió una advertencia similar, pero cuando TechCrunch preguntó si se había producido algún daño registrado, la oficina respondió que no había registrado ningún caso real. Pero para estar seguro, vale la pena gastar diez dólares o menos para mantener tu teléfono seguro.
