¿Has cargado tu móvil alguna vez en una estación de carga por USB pública? Cada vez son más comunes: en estaciones, aeropuertos, cafeterías… Muy prácticos cuando no llevamos a mano un cargador, o no hay un enchufe cerca, pero sí contamos con un cable para nuestro smartphone, que siempre está con la batería en rojo. Pues este hábito no es nada recomendable, ya que esos USB pueden estar comprometidos. La técnica se llama Juice Jacking, y es un tipo de ciberataque en el que los delincuentes manipulan las estaciones de carga pública para que sean transmisores de software malicioso, y de esa manera, infectar los dispositivos cuando se conecten a ellos.
Es decir, ese puerto USB manipulado no solamente cargará la batería del dispositivo, sino también podrá intercambiar datos con el equipo informático. Una vez conectado el smartphone al USB, se infectará el terminal con un software malicioso. Dependiendo del tipo de malware instalado, este podrá robar datos personales o monitorizar el dispositivo, si se tratase de algún tipo de spyware.
El FBI ha publicado un tweet advirtiendo sobre esta técnica y se ha revolucionado internet. Pero todos los expertos en ciberseguridad ya llevaban mucho tiempo alertando sobre esta técnica, que no está de más advertir porque no es posible saber de antemano si uno de esos puntos de carga ha sido comprometido.
El tweet del FBI en cuestión dice así: “Evita utilizar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Los actores maliciosos han descubierto formas de usar puertos USB públicos para introducir malware y software de monitorización en los dispositivos. En su lugar, lleva tu propio cargador y cable USB y utiliza una toma de corriente.”
Avoid using free charging stations in airports, hotels or shopping centers. Bad actors have figured out ways to use public USB ports to introduce malware and monitoring software onto devices. Carry your own charger and USB cord and use an electrical outlet instead. pic.twitter.com/9T62SYen9T
— FBI Denver (@FBIDenver) April 6, 2023
¿Qué hacer si necesitamos cargar el dispositivo?
El término juice-jacking (vinculado al término juice up, añadir energía) fue acuñado por el periodista y experto en ciberseguridad Brian Krebs, a raíz de un experimento en el congreso Defcon en 2011, donde ya se advertía que esta técnica podría ser usada por los atacantes. Ha llovido mucho desde entonces, y también han aumentado las posibilidades de que los ciberdelincuentes la pongan en práctica.
La recomendación para evitar poner en riesgo el dispositivo, y los datos, es no usar este tipo de puertos de carga públicos. Pero si surge una ocasión en la que realmente necesitas hacerlo, la recomendación es usar un adaptador USB que impida la trasferencia de datos. Si no se dispone de uno, también se puede configurar el dispositivo para que queden restringidos los datos.
En el caso de smartphones Android, en algunas ocasiones cuando se conecta a un puerto USB, aparece una notificación que da a elegir entre diversas opciones para realizar la conexión. En este caso, habría que seleccionar la modalidad en la que solo se cargue. Si esta ventana emergente no aparece, se puede configurar en ajustes para que no transfiera datos de manera temporal a través de USB.
En los dispositivos iPhone, siempre aparece una notificación que pregunta al usuario si quiere confiar en ese dispositivo. Para bloquear la transferencia de datos, tan solo hay que elegir la opción de “no confiar en el dispositivo”.
