¿Hasta qué punto es peligrosa la recarga de smartphones en estaciones públicas?
Sophos Cybersecurity, IT-Security, Smartphone
Servicios profesionales para la seguridad de los datos
El FBI y la FCC advirtieron recientemente de que los delincuentes están utilizando puertos USB públicos para plantar malware y dispositivos de vigilancia en los dispositivos. Paul Ducklin, experto de Sophos, ha probado varios smartphones y ofrece consejos para mantenerse a salvo.
Si nunca has oído la palabra de moda en ciberseguridad "juicejacking", que no cunda el pánico. El término se puso de moda a principios de la década de 2010, pero sigue desempeñando un papel en la vida cotidiana de los smartphones, y sus constantes advertencias han atraído recientemente una nueva y sorprendente atención, incluso por parte del FBI. En primer lugar, empecemos con una breve explicación del concepto: la gente que se desplaza, especialmente en aeropuertos donde los cargadores de sus teléfonos están metidos en lo más profundo de su equipaje de mano o ya atrapados en la bodega de un avión, a menudo se preocupan por cargar la batería. El fantasma de la batería vacía, que nos ha perseguido desde la aparición de los teléfonos móviles, sigue rondando el mundo de los smartphones y, a pesar de los adaptadores de corriente y similares, la gente aprovecha cualquier oportunidad para recargar la batería, especialmente cuando viaja, por si acaso no hay posibilidad de hacerlo en un futuro próximo.
Lo que ocurre a tus espaldas
Aquí es donde entran en juego los delincuentes del juicehacking. Los smartphones suelen cargarse a través de un cable USB diseñado específicamente para la transferencia de energía y datos. Qué pasa si hay un ordenador al otro lado de la estación de carga que no sólo está suministrando 5 voltios de corriente continua, sino que también está tratando de interactuar con el teléfono a tus espaldas? Respuesta sencilla: no puedes estar seguro. Por esta razón, tanto Apple como Google han implementado desde hace tiempo configuraciones por defecto que eliminan el elemento sorpresa mostrando un aviso de seguridad al conectarse a un dispositivo desconocido y preguntando si se debe confiar en él. Aparte de que un usuario todavía puede ser engañado para que confíe en un dispositivo nuevo, en teoría es imposible hacerse con datos a espaldas del propietario a menos que éste mismo tome medidas.
Teniendo en cuenta las recientes advertencias del FBI y la FCC, resulta sorprendente que los delincuentes utilicen los puertos USB públicos para infiltrar malware y software de vigilancia en los dispositivos. Para que no haya dudas, conviene utilizar un cargador propio si es posible y no confiar en cables o puertos USB desconocidos. Aunque sólo sea porque nadie puede saber lo seguro y fiable que es el convertidor de voltaje del circuito de carga.
Cómo de seguros son los datos?
Pero, ¿qué hay del riesgo de que la información privada sea succionada subrepticiamente por un cargador que hace las veces de ordenador central e intenta controlar sin permiso un dispositivo conectado? Siguen siendo válidas las mejoras de seguridad introducidas a raíz de la herramienta de juicejacking de Mactans en 2011?
El experto de Sophos Paul Ducklin lo ha comprobado y, basándose en la conexión de un iPhone (iOS 16) y un Google Pixel (Android 13) a un Mac (macOS 13 Ventura) y un portátil con Windows 11 (build 2022H2), concluye que sí, que las consultas siguen cumpliendo su propósito. En primer lugar, ningún teléfono se conecta automáticamente a macOS o Windows la primera vez que se conecta, independientemente de si está bloqueado o desbloqueado. Además, una ventana emergente de confirmación indica claramente que un dispositivo de terceros quiere acceder, lo que debe confirmarse activamente.
Sin embargo, como el diablo está en los detalles, los propietarios de smartphones pueden ir a lo seguro a pesar de estas finas barreras de seguridad.
Esto es lo que debes tener en cuenta:
-
Si es posible, evita enchufar clavijas o cables de carga desconocidos. Incluso una estación de carga bien configurada puede no proporcionar la calidad de energía y la regulación de voltaje deseadas. Evite también cargadores de pared baratos o cargar desde su propio portátil.
-
Bloquea o apaga tu teléfono antes de enchufarlo a un cargador público o al ordenador de otra persona. Esto minimiza el riesgo de exponer accidentalmente archivos maliciosamente activos. Esto también garantizará que el dispositivo quede bloqueado si es robado de una estación de carga multiusuario.
-
Si tienes un iPhone, es posible que no confíes en todos los dispositivos. Esto garantiza que no se olviden los dispositivos de confianza anteriores que puede haber configurado accidentalmente en un viaje anterior.
- Considere la compra de un cable USB o enchufe adaptador sólo para alimentación. Los enchufes USB-A sin datos son fáciles de detectar porque solo tienen dos conectores eléctricos metálicos dentro de la carcasa en los bordes exteriores de la toma, en lugar de cuatro en toda la anchura. Tenga en cuenta que los conectores internos no siempre son inmediatamente visibles, ya que no se extienden hasta el borde de la toma, por lo que los conectores de alimentación hacen contacto primero.