Blog AVG Signal Seguridad Sugerencias La cruda realidad sobre los USB
The_Dirty_Truth_About_USBs-Hero

¿Cuál es esa vulnerabilidad tan terrible y peligrosa?

¡Es usted, por supuesto!

A medida que la ciberseguridad se vuelve más potente y avanzada, muchos hackers ven más difícil encontrar vulnerabilidades en el software. Que es por lo que cada vez confían más en sacar partido del error humano para llegar hasta sus datos más preciados. Los correos electrónicos de phishing tratarán de explotar el miedo, el malware oculto en los sitios de torrent puede usarse codiciosamente y otros estafadores intentarán usar su compasión, o incluso su soledad, en su contra.

Pero en el caso de una humilde unidad USB, la vulnerabilidad más fiable de la que disponen los hackers es nuestra curiosidad.

Este artículo contiene:

    Curioso sobre la curiosidad

    De acuerdo con el astrofísico y escritor Mario Livio, existen dos tipos básicos de curiosidad: la curiosidad perceptiva, como cuando conoce algo sorprendente (y a menudo desagradable) y produce un picor que tiene que rascar, y curiosidad epistémica, como cuando desea aprender algo porque cree que será placentero y tendrá su recompensa. Ambas han sido vitales para nuestra evolución biológica; y tecnológica.

    Así que, podría sentir una curiosidad perceptiva si lee un terrible titular en un sitio de noticias sobre el último desastre natural. Puede que no le haga «feliz», pero podría estropearle el día si no investiga un poco más. Por otro lado, probablemente sienta curiosidad epistémica si recibe un correo electrónico de un correo electrónico de alguna de sus amistades etiquetada con el nombre «CARTA-DE-AMOR».

    Que es exactamente cómo se difundió el virus ILOVEYOU en el año 2000, causando unas pérdidas estimadas entre 5,5 y 8,7 mil millones de dólares en todo el mundo.

    Y está lejos de ser un caso aislado. Desde ventanas emergentes diciendo que ha ganado la lotería hasta desconocidos asegurando que son viejos amigos de la universidad, los hackers usan la curiosidad para embaucar a la gente para que hagan clic en enlaces y descarguen archivos desde que existe el correo electrónico. De hecho, uno de los métodos de difusión de virus con más éxito es solo un correo electrónico vacío con enlaces o archivos; la gente es tan curiosa que los descarga, lo que facilita mucho el trabajo a los hackers.

    Los hackers son tan buenos usando la curiosidad como arma que incluso han logrado algunos de los mejores «hackeos» de la década gracias a ella.

    Y esto es lo que nos trae de vuelta a la unidad USB.

    USB - La brecha de seguridad definitiva

    ¿Qué haría si se encontrara un dispositivo USB (que significa Universal Serial Bus), y a veces denominado memoria USB, tirado en el suelo?

    Si es como la mayoría, probablemente será curioso, sobre todo si el dispositivo tiene una etiqueta especialmente tentadora, como «confidencial», «porno» o «no abrir». En cuyo caso, en cuanto se encuentre frente a un PC (ya sea en el trabajo o en casa, dependiendo de la etiqueta), podría conectarlo. Podría ser que de forma altruista, esperando que la información que contenga pueda ayudar a encontrar a su propietario, o quizá de forma «voyeurística», para ver lo que hay en su interior. Pero en el probable caso de que el USB fuera colocado por un hacker, sus motivos no importarán: estará en el buen camino para infectar su dispositivo.

    Existen dos formas en las que un dispositivo USB puede entregar su carga. La primera forma es tratarlos como correos electrónicos: portan un archivo infectado y depende de que usted haga clic en él para que la infección llegue a su equipo. En este caso, puede conectar el dispositivo a su PC o Mac y analizarlo en busca de virus antes de abrir lo que contiene, que podría ser la segunda cosa más precavida que podría hacer... en lugar de no conectarla.

    Pero el problema de los dispositivos USB es que en la mayoría de los casos, sus fabricantes no protegen su firmware, lo que significa que los hackers pueden reprogramarlos para hacerlos más eficaces y peligrosos. La forma más corriente de hacerlo es reprogramar el dispositivo USB de forma que cargue el malware automáticamente en cualquier dispositivo al que se conecte, incluso antes de abrirlo. En ese caso, estará en riesgo desde el momento en el que conecte su dispositivo.

    «Estoy dentro»

    Pero si piensa que los hackers solo pueden usar los dispositivos USB para propagar el malware, tristemente, se equivoca. Estos magos de la técnica han ideado, según el último recuento, hasta 29 formas diferentes de usar las unidades USB para hacer varias cosas con su dispositivo y con sus datos.

    Por ejemplo, un ataque USB podría:

    • Tomar el control de su teclado e introducir ciertas pulsaciones, forzando a su PC a realizar acciones que no desea.

    • Registrar lo que teclea y enviar los datos a servidores remotos

    • Implantar hardware, como un receptor de radio

    • Cambiar o manipular sus archivos

    • Infiltrarse en su webcam y grabarlo 

    • Transmitir su actividad mediante emisiones electromagnéticas públicamente accesibles

    • Destruir su dispositivo mediante una fuerte sobretensión eléctrica

    Y estos son solo algunos ejemplos de una lista que va en aumento y se vuelve más impresionante —y aterradora— a medida que se desarrollan nuevos dispositivos USB y software. Podría estar pensando: el hecho de que sea posible no quiere decir que sea probable, ¿cierto? ¿Realmente hay por ahí algún hacker que esté ocultando dispositivos USB como algún tipo de conejo de Pascua delictivo?

    Se sorprendería.

    Cargado de peligros

    Acaba de aterrizar en Los Ángeles, en 2019, y está cansado. Está sediento, sus piernas están doloridas y, lo peor de todo, la batería de su smartphone está casi sin carga. Afortunadamente, el aeropuerto de Los Ángeles dispone de estaciones de carga para teléfonos, así que puede enchufar su smartphone en una de ellas para conseguir la carga que necesita hasta que su viaje termine.

    Y cuando al fin enciende y comprueba su teléfono, ups, esa estación de carga USB estaba «hackeada» y ahora su teléfono está infectado.

    Otro ejemplo: un día se dirige al trabajo y, por el camino, mientras está sentado en un banco, ve un dispositivo USB. Lo coge, quizá pensando que es de algún colega, pero al conectarlo, ve un mensaje enorme que dice que ha fallado la prueba de seguridad; lo que podría constituir el mejor escenario en este caso.

    Porque estas cosas no solo suceden, sino que funcionan realmente bien. Si bien no existen cifras sobre cuántos «ataques por USB abandonados» se producen al año, un estudio de 2016 mostró que, de 297 dispositivos USB infectados abandonados en un campus de universidad, fueron encontrados un 98 % y el 45 % fueron conectados a un PC. Se trata de una tasa de éxito de casi el 50 % frente al 0,5 % estimado de gente que cae en un correo electrónico de phishing (el tipo de ataque más popular actualmente). Es mucho.

    Si bien las probabilidades de que un hacker deje caer un dispositivo USB en su entrada puede ser bastante bajas, si trabaja en una gran empresa o para el Gobierno, tenga cuidado: ya resulta mucho más probable que se encuentre casualmente con un dispositivo USB en el suelo.

    Permanezca desconectado, permanezca seguro

    Lo que plantea esta pregunta: ¿cómo puedo estar a salvo de dispositivos USB infectados?

    Bueno, es sencillo: no conecte dispositivos USB que ha encontrado por ahí. Si encuentra uno en los alrededores de su empresa, llévelo a los informáticos o dígaselo a su jefe. Es posible que haya más de uno y quizá no todos sus colegas sean tan entendidos en cuestiones técnicas como usted. Si encuentra uno en un lugar público, hágale un favor al mundo y tírelo, bien para protegerse a usted y a los demás del malware o bien para que el que lo ha perdido no vea violada su información privada a manos de un desconocido. Y si necesita cargar su teléfono en un lugar público, utilice solo cargadores de corriente, cualquier otra cosa conlleva un riesgo.

    La curiosidad nos puede conducir a descubrir cosas maravillosas, pero no permita que se convierta en su mayor fallo de ciberseguridad.

    Proteja su iPhone de amenazas con AVG Mobile Security

    Instalación gratis

    Proteja su dispositivo Android de amenazas con AVG AntiVirus

    Instalación gratis