En la actualidad, los teléfonos móviles se han convertido en una extensión vital de nuestras vidas. Desde la gestión de nuestra agenda, pasando por las comunicaciones, hasta el manejo de nuestras finanzas, estos dispositivos contienen una gran cantidad de información personal y sensible. Esto los convierte en un objetivo primordial para los ciberdelincuentes. Con el aumento de la dependencia de nuestros teléfonos inteligentes, la carga de estos dispositivos en lugares públicos ha ganado una popularidad indiscutible.
Los aeropuertos, centros comerciales, hoteles y cafeterías son solo algunos de los muchos lugares que han instalado estaciones de carga USB para satisfacer la necesidad de recargar nuestros dispositivos mientras estamos fuera de casa. Sin embargo, esta comodidad está acompañada de un alto riesgo de seguridad, especialmente con el surgimiento de nuevas técnicas de ataque como el choicejacking.
El choicejacking es una amenaza moderna que ha evolucionado a partir de otros ataques previos, como el juicejacking, y pone en evidencia una vulnerabilidad crítica en la seguridad de nuestros dispositivos móviles. Esta técnica del choicejacking permite a los ciberdelincuentes tomar el control de los dispositivos conectados a estaciones de carga públicas y robar o manipular datos personales, sin el conocimiento o consentimiento del usuario.
Con el aumento de la digitalización de nuestra vida cotidiana, esta amenaza del choicejacking plantea un serio peligro para la privacidad y seguridad de los usuarios. A continuación, el equipo de expertos de ITD Consulting te brinda una guía completa sobre el choicejacking y cómo prevenirlo.
El surgimiento y evolución de las amenazas de carga pública
Para entender por qué el choicejacking es una amenaza tan peligrosa, es necesario contextualizarlo en el desarrollo de ataques previos, como el juicejacking. El juicejacking apareció por primera vez en 2011 y consistía en utilizar puertos USB modificados para infectar dispositivos móviles con malware o robar datos personales, incluso cuando el usuario solo estaba intentando cargar su teléfono. Este ataque juicejacking se realizaba a través de puertos USB públicos que permitían tanto la carga como la transferencia de datos.
De hecho, muchos cargadores públicos no solo ofrecen energía, sino que también permiten la transferencia de archivos entre el dispositivo conectado y la estación de carga, lo que abre una puerta para que los ciberdelincuentes puedan acceder a la información almacenada en el teléfono con el juicejacking.
En respuesta a esta amenaza, las compañías de tecnología y los desarrolladores de sistemas operativos, como Android y iOS, comenzaron a implementar medidas de seguridad para proteger a los usuarios del juicejacking. La más significativa de estas medidas fue la introducción de un mensaje de advertencia que aparece en el dispositivo al conectarlo a un puerto USB.
Este mensaje le pide al usuario que elija entre dos opciones: «Solo cargar» o «Transferir datos». Esto estaba diseñado para evitar que los dispositivos iniciaran transferencias de datos sin el consentimiento explícito del usuario, evitando así el juicejacking.
Sin embargo, la innovación en ciberseguridad y el ingenio de los atacantes no se detienen, y fue entonces cuando surgió el choicejacking. Este ataque del choicejacking es mucho más sofisticado que el juicejacking. Los ciberdelincuentes con el choicejacking no solo manipulan la transferencia de datos, sino que pueden burlar las protecciones existentes, haciendo que el dispositivo móvil habilite automáticamente el modo de transferencia de datos sin que el usuario lo sepa ni lo apruebe.
¿Qué es el choicejacking y cómo funciona?
El choicejacking explota una vulnerabilidad inherente al proceso de carga y conexión de los dispositivos móviles a puertos USB públicos. En un ataque típico de choicejacking, el atacante crea un dispositivo malicioso que se presenta como una estación de carga USB común y corriente. Sin embargo, a diferencia de una estación de carga legítima, este dispositivo ha sido modificado para realizar acciones maliciosas de choicejacking.
Cuando el usuario conecta su teléfono móvil, este dispositivo de choicejacking manipula el sistema operativo del teléfono para habilitar de manera silenciosa el modo de transferencia de datos, sin ninguna intervención del usuario. Este ataque de choicejacking se realiza en fracciones de segundo, aprovechando protocolos y vulnerabilidades específicos en los sistemas operativos móviles, como Android o iOS.
El ciberdelincuente puede utilizar diversas técnicas, como la inyección de pulsaciones de teclado (que simulan comandos de usuario), el abuso de protocolos de comunicación o el desbordamiento de búfer, para engañar al dispositivo y activar el modo de transferencia de datos sin que el usuario lo detecte, de modo que es víctima del choicejacking.
Una vez habilitado este modo con el choicejacking, el atacante puede acceder a la información almacenada en el dispositivo móvil, como fotos, videos, documentos, contactos, contraseñas almacenadas, correos electrónicos e incluso información financiera. La velocidad de ejecución del ataque de choicejacking es tan rápida (alrededor de 133 milisegundos) que los usuarios no tienen tiempo de reaccionar ni de darse cuenta de que su dispositivo ha sido comprometido.
Adrianus Warmenhoven, asesor de ciberseguridad de NordVPN, ha destacado la peligrosidad de este tipo de ataque al señalar que: «El choicejacking es particularmente peligroso porque manipula un dispositivo para ejecutar acciones que los usuarios jamás aceptarían, y sin que siquiera se den cuenta de ello». Este ataque de choicejacking pone en evidencia lo vulnerable que puede ser un dispositivo móvil, incluso en situaciones cotidianas, como cargarlo en un lugar público.
Comparativa entre choicejacking y juicejacking
Aunque el choicejacking y el juicejacking son técnicas similares que explotan puertos USB maliciosos, existen diferencias clave que hacen al choicejacking una amenaza más peligrosa.
1. Interacción con el usuario
Juicejacking: El juicejacking generalmente requiere de la intervención del usuario. Cuando un dispositivo se conecta a un puerto USB comprometido por juicejacking, se le solicita al usuario que acepte la transferencia de datos o que habilite el acceso a su dispositivo. Esto le da al usuario la oportunidad de evitar la infección de juicejacking si se da cuenta de la solicitud.
Choicejacking: El choicejacking, por el contrario, no requiere ninguna intervención del usuario. El atacante de choicejacking manipula el dispositivo de manera subrepticia para habilitar el modo de transferencia de datos sin que el usuario lo sepa, lo que lo hace mucho más difícil de detectar.
2. Velocidad y sigilo
Juicejacking: Los ataques de juicejacking son relativamente lentos en comparación con los de choicejacking. Dado que requieren que el usuario acepte la transferencia de datos para el juicejacking, esto les da tiempo para percatarse de la amenaza.
Choicejacking: Este ataque de choicejacking se completa en cuestión de milisegundos (alrededor de 133 ms), lo que lo hace casi indetectable para el usuario.
3. Alcance del ataque
Juicejacking: Su principal objetivo es infectar el dispositivo con malware o robar información. El impacto del juicejacking suele ser más limitado y se centra en los datos que están accesibles para el atacante.
Choicejacking: Aparte de robar información, el choicejacking puede otorgar a los atacantes control remoto del dispositivo y permitirles ejecutar acciones sin que el usuario se percate, ampliando enormemente el alcance de la amenaza.
¿Por qué no se deben usar puertos USB públicos?
Las estaciones de carga ubicadas en lugares públicos como aeropuertos, centros comerciales, cafeterías y bibliotecas, aunque convenientes, representan un peligro para la seguridad de los dispositivos móviles. Aunque a menudo no son percibidas como amenazas, los puertos USB públicos pueden ser fácilmente manipulados para realizar ataques de choicejacking. Estos puertos de carga no solo proporcionan energía al dispositivo, sino que también permiten la transferencia de datos entre el dispositivo y el cargador, facilitando el choicejacking. Esto hace que el puerto USB sea una posible vía de entrada para los atacantes de choicejacking.
La principal vulnerabilidad en este escenario para el choicejacking radica en la confianza que los usuarios depositan en las estaciones de carga. La mayoría de las personas asume que la simple acción de conectar su teléfono móvil a un cargador público es completamente segura. Sin embargo, como hemos visto con el choicejacking, incluso un puerto de carga legítimo puede ser comprometido para realizar una serie de acciones maliciosas en segundo plano.
Medidas de protección contra el choicejacking
Aunque el choicejacking es una amenaza seria, existen varias medidas que los usuarios pueden adoptar para proteger sus dispositivos y minimizar el riesgo de ser víctimas de este tipo de ataque. A continuación, se desarrollan en mayor profundidad las recomendaciones más importantes para protegerse contra el choicejacking:
1. Mantén el sistema operativo actualizado
Una de las formas más efectivas de defenderse contra el choicejacking es asegurarse de que el sistema operativo de tu dispositivo esté siempre actualizado. Los fabricantes de teléfonos inteligentes, como Apple y Google, lanzan parches de seguridad periódicos para corregir vulnerabilidades que podrían ser explotadas por ciberdelincuentes de choicejacking. Estos parches incluyen correcciones a fallos de seguridad que pueden proteger a tu dispositivo de ataques como el choicejacking. Además, las actualizaciones también pueden mejorar las medidas de defensa integradas en el sistema operativo para hacer frente a nuevas amenazas, como el choicejacking.
2. Evita el uso de estaciones de carga públicas
Lo más seguro es evitar usar estaciones de carga USB públicas siempre que sea posible. Si estás en un lugar donde hay una estación de carga, considera alternativas más seguras, como llevar una batería portátil o utilizar un cargador que conectes directamente a un enchufe de pared. Si no tienes opción y necesitas cargar tu dispositivo en una estación pública, trata de elegir solo aquellos lugares que ofrezcan cargadores y puertos USB oficiales y verificados, como los proporcionados por los fabricantes de dispositivos o proveedores confiables.
3. Usa cargadores y cables propios
Es recomendable llevar siempre un cargador y un cable propios cuando viajes o te encuentres fuera de casa. Si no es posible, asegúrate de que el cargador que estás utilizando provenga de una fuente confiable. Los cables de terceros pueden ser una herramienta ideal para los atacantes, ya que pueden estar manipulados para ejecutar un ataque de choicejacking. Además, ten en cuenta que un cargador que parece legítimo puede ser un dispositivo comprometido que pone en riesgo tu seguridad.
4. Activa el modo “Solo carga” en Android
Los usuarios de Android tienen la opción de activar el modo “Solo carga” cuando conectan su dispositivo a un puerto USB para evitar el choicejacking. Esta opción bloquea la transferencia de datos, asegurando que solo se utilice el puerto para cargar el dispositivo. Al habilitar este modo, se elimina el riesgo de que el atacante acceda a tus datos personales sin tu consentimiento.
5. No dejes que la batería de tu dispositivo se agote completamente
Planifica el uso de tu dispositivo para evitar que la batería llegue a niveles críticos. Mantén la carga por encima del 10% para no depender de las estaciones de carga públicas cuando más las necesitas. Tener una batería portátil a mano te permitirá cargar tu dispositivo de manera segura sin la necesidad de utilizar puertos USB públicos, de modo que puedas prevenir eficientemente el choicejacking.
6. Desconfía de cables y cargadores ajenos
Nunca uses cables o cargadores proporcionados por personas desconocidas. Incluso si parecen ser inofensivos, pueden estar diseñados para ejecutar un ataque choicejacking. Es fundamental que solo utilices cargadores y cables de confianza, preferentemente los que vienen con el dispositivo o de marcas reconocidas por su seguridad.
El choicejacking no solo es una de las amenazas más recientes en el ámbito de la ciberseguridad, sino que también es un claro ejemplo de cómo los ciberdelincuentes están constantemente adaptándose y perfeccionando sus técnicas para aprovechar vulnerabilidades en los dispositivos móviles. Aunque los fabricantes de teléfonos inteligentes y los desarrolladores de sistemas operativos han implementado una serie de medidas de seguridad, como el control de permisos de conexión USB y las actualizaciones de software, estas protecciones no siempre son suficientes para contrarrestar los ataques sofisticados que el choicejacking representa.
Los ciberdelincuentes explotan precisamente esta constante evolución de las tecnologías y las brechas de seguridad, lo que demuestra que el campo de la ciberseguridad nunca debe considerarse completamente seguro o resuelto. Por lo tanto, la responsabilidad de proteger nuestros dispositivos no recae solo en los fabricantes, sino también en los propios usuarios. Mantenerse informado sobre las nuevas amenazas, como el choicejacking, y adoptar hábitos de seguridad adecuados es esencial para mitigar los riesgos.
Esto incluye, además de seguir prácticas como la actualización regular de los sistemas operativos y el uso de cargadores personales en lugar de estaciones públicas, desarrollar una conciencia crítica sobre los posibles vectores de ataque de choicejacking. En última instancia, la seguridad digital depende de un enfoque preventivo y proactivo que involucre tanto la educación del usuario como la implementación de medidas de protección adecuadas.
Solo con un enfoque integral y vigilante podremos reducir los riesgos que amenazan nuestra privacidad y nuestros datos personales en un mundo cada vez más interconectado. Si quieres contar con las mejores medidas de ciberseguridad para tu empresa, escríbenos a [email protected]. Te brindamos asesoría personalizada para que mantengas tus datos a salvo.
ES 
EN