Cargar el móvil en el aeropuerto o el metro te puede salir caro. Así manipulan los USB públicos
Los espacios públicos se han llenado de cargadores y puertos USB. Lo que la gente desconoce es que también son la puerta de entrada a tus datos. Y un caballo de Troya para que los ciberdelincuentes dejen tu cuenta temblando
Estás a punto de subir a un vuelo y te das cuenta de que la batería de tu móvil está en las últimas. Cada minuto que pasa, ese dispositivo en el que tienes literalmente todo (tarjeta de embarque, aplicación para llamar a un Uber, reserva del hotel al que vas, y el número de tu contacto en el país de destino) se muere. Te pones nervioso. “Me voy a quedar aquí tirado por no haber cargado el p*** teléfono”, piensas. Entonces, allí, a lo lejos, ves una estación de carga pública bajo los asientos. Respiras tranquilo, te has salvado por poco. En ese momento, probablemente, ni siquiera haya pasado por tu cabeza que conectarte a ese cargador puede desvalijar tu cuenta bancaria en cuestión de segundos.
Los espacios públicos se han llenado de cargadores y puertos USB: aeropuertos, metros, centros comerciales… Lo que la gente desconoce es que también son la puerta de entrada a todos tus datos. Y un caballo de Troya para los ciberdelincuentes. Las autoridades de gran cantidad de países, así como el FBI, alertan cada año de los riesgos a los que te expones cargado tu teléfono o portátil en espacios abiertos mientras la gente vive totalmente ignorante de esta amenaza. Es una práctica que se conoce en ciberseguridad como "juice jacking" y consiste en manipular las estaciones de carga y utilizarlas como conducto para robar información de usuarios desprevenidos mediante malware.
El problema no es el tipo de dispositivo, sino el hecho de que estás usando un cable USB para enchufarte a un cargador que un ciberdelincuente ha infectado antes. ¿Cómo? Instalando un pequeño dispositivo dentro de la estación de carga que intercepta los datos que se transfieren entre el dispositivo y el enchufe. Este dispositivo actúa como intermediario, capturando información confidencial y transmitiéndola al pirata. O directamente instalando malware directamente en la estación de carga, que luego infecta los dispositivos conectados y permite al ciberdelincuente obtener el control sobre ellos.
De esta manera, pueden inutilizar tu teléfono, robar los datos que hay en él, incluidas contraseñas o acceder a tus cuentas privadas de banca o redes. “Evite utilizar los de aeropuertos, hoteles o centros comerciales”, decía un comunicado del FBI hace unos meses. "Los delincuentes han descubierto formas de usar esos puertos USB públicos para introducir virus en los dispositivos", añadían. En la misma línea se pronunciaba la Comisión Federal de Comunicaciones de EEUU recientemente: “No permita que una carga USB gratuita termine vaciando su cuenta bancaria”.
Una puerta de entrada donde menos te lo esperas
Un caso muy sonado tuvo lugar en 2019, cuando el propio Aeropuerto Internacional de Los Ángeles comunicó a los viajeros que había descubierto varias estaciones de carga manipuladas. Se les recomendó evitar utilizar estaciones de carga públicas y que, en su lugar, confiaran en sus propios cargadores o power banks. Desde entonces, las amenazas se han disparado. Según el informe USB Threat 2022 de Honeywell Forge, los casos para propagar malware de esta manera han aumentado un 52% en los últimos cuatro años.
"La gente quiere y necesita cargadores USB en aeropuertos, restaurantes y espacios públicos. Por lo tanto, seguirán existiendo. Pero de la misma manera, la gente necesita cajeros automáticos que también estaban siendo manipulados con skimmers. ¿Eliminamos todos los cajeros automáticos por eso? No, no lo hicimos”, explicaba Thomas Pace, el CEO de NetRise en una entrevista con CBS.
Los expertos en ciberseguridad están al tanto. Ya en la Conferencia Defcon de 2011, hace más de diez años, probaron a instalar una estación de carga en el evento para demostrar los riesgos que existían. No sólo fueron capaces de cazar información confidencial como direcciones de correo electrónico, sino también contraseñas y acceso a cuentas privadas. Años después, el departamento de ciberseguridad de la Universidad Estatal de California, decía que deberíamos empezar a pensar en los móviles como lo hacemos con las tarjetas de crédito: “No vas por ahí y metes tu tarjeta en cualquier sitio”.
Los investigadores de Kaspersky también han indagado en el asunto para encontrar respuestas. En un experimento, probaron diferentes smartphones con varias versiones de sistemas operativos Android e iOS para ver qué datos transfiere el dispositivo externamente mientras está conectado para cargar. Los resultados de la prueba indican que los móviles revelan toda una letanía de datos durante ese "apretón de manos", incluyendo el nombre del dispositivo, el fabricante, el número de serie, la información del firmware y del sistema operativo, el sistema de archivos o el identificador del chip electrónico. También lograron colar un archivo malicioso en el teléfono a través del cable.
¿Cómo detectarlo? Hay varias señales a las que prestar atención. Por ejemplo, si ves puertos USB sueltos o que parece que hayan sido manipulados por alguien, o si tu dispositivo empieza a comportarse de manera extraña después de conectarlo, como a congelarse, ralentizarse o mostrar ventanas emergentes o notificaciones inusuales. Entonces es mejor que saques tu móvil de ahí lo antes posible. Algunos de estos cargadores vienen con sellos de seguridad que indican que se han inspeccionado para detectar posibles manipulaciones. Si estos faltan, es mejor evitar también usarlos.
No obstante, para ahorrarse cualquier dolor de cabeza, lo mejor que se puede hacer es usar solamente cargadores propios o conocidos. Para evitar percances o contratiempos siempre es recomendable llevar encima una batería externa o power bank. Otra manera es usar cables de solo carga, que evitan el envío o la recepción de datos y archivos durante la carga. Si conectas tu dispositivo a un puerto USB y aparece un mensaje que le pide que selecciones "compartir datos" o "solo cargar", seleccione siempre la segunda opción. En un mundo con infraestructuras cada vez más conectadas, intentar robar datos está a la orden del día. Como en cualquier estafa, al final va a depender de ti si caes en la trampa o no.
Estás a punto de subir a un vuelo y te das cuenta de que la batería de tu móvil está en las últimas. Cada minuto que pasa, ese dispositivo en el que tienes literalmente todo (tarjeta de embarque, aplicación para llamar a un Uber, reserva del hotel al que vas, y el número de tu contacto en el país de destino) se muere. Te pones nervioso. “Me voy a quedar aquí tirado por no haber cargado el p*** teléfono”, piensas. Entonces, allí, a lo lejos, ves una estación de carga pública bajo los asientos. Respiras tranquilo, te has salvado por poco. En ese momento, probablemente, ni siquiera haya pasado por tu cabeza que conectarte a ese cargador puede desvalijar tu cuenta bancaria en cuestión de segundos.
- No te fíes de tu jefe si te envía un audio por WhatsApp. Puede costarle millones a tu empresa Albert Sanchis
- Cuidado con los cargadores públicos: son un coladero de virus tan grande como el wifi Aroa Fernández
- Aquel anuncio de tostadoras en el que pinchaste pudo haberte vaciado la cuenta bancaria Albert Sanchis