Teléfonos móviles: encuentran fallos de seguridad durante la carga de los dispositivos

Aunque los fabricantes de teléfonos móviles y tabletas han introducido medidas para proteger a los usuarios del juice-jacking, ataque en el que cargadores maliciosos ponen en peligro los dispositivos móviles conectados, los ciberdelincuentes han encontrado formas de burlar este tipo de protección.

El método que ha surgido recientemente es el choicejacking, una nueva amenaza en la que un dispositivo malicioso disfrazado de estación de carga manipula varias funciones del dispositivo para confirmar sin la intervención o el consentimiento de la víctima que esta desea conectarse en modo de transferencia de datos, lo que significa dar a la estación de carga encubierta acceso al contenido de tu teléfono, como fotos, documentos y contactos.

“El choicejacking es especialmente peligroso porque manipula un dispositivo para que tome decisiones que los usuarios no tenían previstas, todo ello sin que se den cuenta”, afirma Adrianus Warmenhoven, asesor de ciberseguridad de NordVPN. “Estos ataques, que dan acceso a datos y/o descargan malware, se aprovechan de la confianza que depositamos en las interacciones cotidianas con nuestros móviles”.

Nueva amenaza

El riesgo de los ataques de juice-jacking surgió por primera vez en 2011 y, desde entonces, los desarrolladores de sistemas operativos implementaron una mitigación: cuando un smartphone se conecta a un dispositivo compatible con el protocolo de transferencia de medios (MTP, por sus siglas en inglés) o el protocolo de transferencia de imágenes (PTP en inglés), es decir, el ordenador de un hacker disfrazado de puerto de carga, este pregunta al usuario si desea permitir la transferencia de datos o si solo quiere cargar el dispositivo. Sin embargo, investigadores de la Universidad Tecnológica de Graz en Austria han descubierto una forma de evitarlo.

Las estaciones de carga maliciosas pueden aprovecharse de los teléfonos móviles haciéndose pasar por dispositivos de entrada USB o Bluetooth para activar sigilosamente modos de transferencia o depuración de datos. Estas técnicas van desde la inyección de pulsaciones de teclas y el desbordamiento del búfer de entrada hasta el abuso de protocolos, y afectan tanto a Android como a iOS (en algunos casos). El ataque puede completarse en tan solo 133 milisegundos, es decir, más rápido que un parpadeo humano, lo que lo hace prácticamente indetectable.

“El choicejacking representa una peligrosa evolución en los ataques de puertos de carga públicos. Con un simple aviso engañoso, los atacantes pueden engañar a la gente para que permita la transferencia de datos, y esto expone potencialmente archivos personales y otros datos sensibles”, comenta Adrianus Warmenhoven. “Los puertos USB públicos nunca deben considerarse seguros, y la concienciación es la primera línea de defensa”.

Consejos para evitar el choicejacking

1. Mantén actualizado el software de tu móvil con los últimos parches de seguridad
2. Evita que tu teléfono baje a menos del 10% de batería a menudo para reducir las necesidades de carga de emergencia
3. Utiliza una batería portátil, la opción más segura y cómoda
4. Si puedes, usa un enchufe de pared con tu adaptador USB y cable personal. Evita los puertos USB de estaciones de carga públicas, como hoteles o aeropuertos
5. Activa el modo «Solo carga» (disponible en algunos dispositivos Android), que añade una capa de control adicional