No cargue su smartphone en lugares públicos; malware juice-jacking

0
58


Una nueva amenaza ha llamado la atención de la comunidad de la ciberseguridad en Los Ángeles, California. Acorde al fiscal de distrito, algunos puntos de carga USB públicos contienen un peligroso malware que podría infectar los dispositivos de los usuarios.

La alerta, publicada directamente por la Oficina del Fiscal, se refiere a reportes sobre una técnica conocida como “juice-jacking” (extracción de jugo), en la que un actor de amenazas carga de malware los cables USB y las estaciones de carga públicas. Posteriormente, sólo tienen que esperar a que algún usuario desprevenido conecte su smartphone o tableta para extraer datos y contraseñas.

A pesar de investigadores y
expertos en ciberseguridad han demostrado anteriormente que este ataque es de
hecho posible, la oficina del fiscal menciona que no tiene registro de casos de
juice-jacking reales, aunque destacan que sí se han registrado ataques en la
costa este. Al ser cuestionado sobre las razones para lanzar esta alerta de
seguridad a pesar de que no existen casos conocidos, un portavoz del condado de
Los Ángeles mencionó que se trata de una campaña de concientización contra el
fraude electrónico.

No obstante, no todos comparten
la misma postura de la oficina del fiscal. El especialista en seguridad Kevin
Beaumont, a través de Twitter, declaró que él no se ha encontrado con “una
sola evidencia de este ataque en escenarios reales”. El experto añade que,
a pesar de que se han desarrollado diversas pruebas de concepto, ningún caso
similar ha salido de los laboratorios de seguridad informática.

Por su parte, otros miembros de
la comunidad de la ciberseguridad destacan que, si bien un ataque de esta clase
es posible, es un enfoque de ataque ridículamente complejo e ineficiente, pues
existen formas mucho más sencillas de comprometer la información en un
dispositivo móvil. Además, la mayoría de los smartphones recientes cuentan con
medidas de seguridad para prevenir este tipo de ataques, por lo que un ataque
juice-jacking en escenarios reales requeriría encontrar un exploit demasiado
poderoso.

A pesar de que aún no se conoce
una técnica para extraer datos usando sólo un cable o cargador USB,
especialistas del Instituto Internacional de Seguridad Cibernética (IICS)
mencionan que esto es posible en teoría, por lo que los esfuerzos para
desarrollar este ataque no se han detenido.

Hace algunos meses, el FBI
emitió una alerta de seguridad acerca de este ataque después de la publicación
de la investigación de Samy Kamkar, un especialista que desarrolló un implante
diseñado para hacerse pasar por un cargador USB y rastrear claves de seguridad.



Source link