Las unidades USB, son pequeñas, y muy fáciles de utilizar, por lo que acostumbran a ser empleadas para almacenar y transportar todo tipo de contenido de un dispositivo a otro. Pero cuando alguien inserta un dispositivo USB infectado en un sistema inseguro, corre el riesgo de adquirir malware.
Software malicioso y unidades manipuladas
Los principales tipos de ataque se perpetran mediante estas técnicas:
- Reprogramación del microcontrolador interno de un dispositivo.
- Reprogramación del firmware para realizar acciones maliciosas.
- Explotación de fallos en los protocolos o estándares USB.
- Ejecución de ataques de sobretensión de energía eléctrica para destruir un dispositivo.
Cuando un ordenador entra en contacto con una unidad de este tipo que contiene firmware manipulado, puede sufrir una brecha de seguridad grave (y a menudo no detectada).
Por ejemplo, la memoria USB puede contener un teclado que el ordenador identificará y configurará como si fuese un dispositivo de interfaz humana (HID).
Rubber Ducky, es un teclado malicioso envuelto en la forma de un pendrive, de manera que no levanta muchas sospechas, es capaz de ejecutar comandos a gran velocidad y con máximos privilegios en el equipo objetivo.
Con solo conectar el dispositivo USB al PC, el teclado llevará a cabo automáticamente toda una serie de acciones predeterminadas, como invocar un intérprete de órdenes que inyectará comandos para descargar malware.
Este software malicioso puede ser cualquier cosa: desde un troyano bancario para capturar credenciales, hasta una puerta trasera, o una carga útil de ransomware.
Los ataques de BadUSB son peligrosos, ya que la mayoría de los escáneres de malware no tienen modo de acceder al firmware de los dispositivos USB y no pueden proteger el ordenador.
Freidoras de dispositivos
Un dispositivo similar a una memoria USB (USB Killer) puede enviar sobretensiones de alto voltaje al ordenador al que está conectado, lo que puede dañar seriamente los componentes del hardware, o freír totalmente la placa base.
Por ejemplo, un aparato de este tipo puede llegar a cargar los condensadores de un dispositivo a 110 voltios y provocar la muerte del sistema.
Un verdadero asesino de aparatos electrónicos que cuenten con una entrada USB.
No tiene ningún uso productivo, pero un cabrón puede utilizarlo para cargarse el dispositivo de cualquier persona por venganza, diversión u otros motivos.
Por suerte, en varias tiendas en línea, y a partir de 25 euros, se pueden encontrar unos aparatos llamados USB Killer Detector, para medir el voltaje de las unidades USB.
La curiosidad mató al gato
Si bien las probabilidades de que un villano deje caer un dispositivo USB en la puerta de tu casa son escasas, lo creas o no, los piratas informáticos pueden dejan dispositivos de este tipo en ubicaciones con mucho tráfico de personas.
El delincuente espera que una persona recoja el dispositivo, se vaya a casa o al trabajo y lo conecte a su PC.
Y no tiene por qué ser necesariamente un teclado malicioso.
El USB podría contener un archivo con algún nombre que resulte irresistible para despertar el morbo o la curiosidad de la futura víctima.
Por ejemplo, mis_desnudos.gpj o cualquier cosa similar.
Una vez que el usuario hace clic en el archivo, el software malicioso puede ejecutarse e instalar malware.
Este truco es parecido a un ataque de phishing, o de ransomware mediante correo electrónico.
Pérdida o robo
Aparte de infecciones por malware, el mayor riesgo que comportan los USB son la pérdida o el robo de los mismos por la información personal o corporativa que puedan contener.
Esto puede solucionarse cifrando los datos.
Promiscuidad
Tampoco es nada recomendable hacer uso de nuestros dispositivos USB particulares dentro de las redes corporativas (y viceversa) o ir pasando los pendrives entre amigos metiéndolos y sacándolos de un PC a otro.
Basta con que el artefacto tenga algún tipo de malware, para que este se propague infectando todos los ordenadores donde ha sido introducido.
Algo parecido a una enfermedad de transmisión sexual como la sífilis o la gonorrea.
No es un escenario muy probable, pero si no se toman las debidas precauciones puede suceder.
Otros dispositivos conectados mediante USB
Existen numerosos casos en los que los piratas informáticos han tomado el control de routers y cámaras y los han utilizado para recopilar datos o realizar ataques de denegación de servicio.
Esto puede suceder porque cualquier dispositivo que se conecte mediante USB tiene un microcontrolador que es responsable de la comunicación.
Sin embargo, este microcontrolador no siempre está protegido contra cambios de código, por lo que algunos piratas informáticos pueden hacer que funcione de una manera completamente diferente para la que ha sido diseñado inicialmente.
Por ejemplo, en 2021, los consultores de seguridad de F-Secure Timo Hirvonen y Alexander Bolshev descubrieron un vector de ataque basado en vulnerabilidades en los controladores de impresoras HP que podría haber causado daños a millones de máquinas.
Usando algunos exploits, los piratas informáticos, obtenían acceso a un sistema para, entre otras cosas, cambiar, eliminar o cifrar datos.
Prevención
Siempre es recomendable examinar estas unidades con un antivirus para prevenir las infecciones típicas de malware.
Algunas soluciones de seguridad gratuitas, ofrecen esta opción, pero lamentablemente, si se trata de un Rubber Ducky, o un USB Killer, no va a servir de nada.
Lo más sensato es evitar dentro de lo posible conectar a nuestro ordenador los dispositivos USB de procedencia desconocida.
- No sabemos quién lo ha «perdido», que contiene, ni el propósito de dicho contenido.
- Deshabilitar la ejecución automática para todos los dispositivos.
- No ejecutar ni instar nada desde el USB de otra persona.
Las organizaciones deben educar a su personal sobre los riesgos de insertar dispositivos USB o unidades flash en cualquier terminal de la red, ya que estos pueden contener software malicioso que puede comprometer el sistema.
Es esencial ser consciente de cómo el malware podría causar daño a la infraestructura crítica de una empresa.
