banner
Centro de Noticias
Expertos y hábiles en su profesión.

¿Esas advertencias aterradoras de robo de jugo en aeropuertos y hoteles? en su mayoria son tonterias

Nov 17, 2023

Dan Goodin - 1 de mayo de 2023 11:00 a. m. UTC

Las autoridades federales, los expertos en tecnología y los medios de comunicación quieren que esté atento a un ataque cibernético aterrador que puede piratear su teléfono cuando no hace nada más que conectarlo a una estación de carga pública. Estas advertencias de "extracción de jugos", como se conoce a la amenaza, han estado circulando durante más de una década.

Sin embargo, a principios de este mes, los temores de robo de jugo alcanzaron un nuevo máximo cuando el FBI y la Comisión Federal de Comunicaciones emitieron nuevas advertencias sin fundamento que generaron informes de noticias que suenan siniestros de cientos de medios. NPR informó que el crimen "se está volviendo más frecuente, posiblemente debido al aumento de los viajes". The Washington Post dijo que es un "peligro significativo para la privacidad" que puede identificar páginas web cargadas en menos de 10 segundos. CNN advirtió que con solo conectarlo a un cargador malicioso, “su dispositivo ahora está infectado”. Y un titular de Fortune advirtió a los lectores: "No dejen que una carga USB gratuita agote su cuenta bancaria".

El escenario para el robo de jugos se parece a esto: un pirata informático instala equipos en un aeropuerto, centro comercial u hotel. El equipo imita el aspecto y las funciones de las estaciones de carga normales, que permiten a las personas recargar sus teléfonos móviles cuando tienen poca energía. Sin que los usuarios lo sepan, la estación de carga envía comandos de forma subrepticia a través del conector USB o Lightning del cable de carga y roba contactos y correos electrónicos, instala malware y hace todo tipo de cosas nefastas.

"El malware instalado a través de un puerto USB corrupto puede bloquear un dispositivo o exportar datos personales y contraseñas directamente al perpetrador", advirtió la FCC a principios de este mes. "Los delincuentes pueden usar esa información para acceder a cuentas en línea o venderla a otros delincuentes. En algunos casos, los delincuentes pueden haber dejado intencionalmente cables enchufados en las estaciones de carga. Incluso ha habido informes de cables infectados que se regalan como regalos promocionales. "

Unos días antes, la oficina de campo del FBI en Denver emitió su propia alerta de robo de jugo, escribiendo en parte: "Los malos actores han descubierto formas de usar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos". Para no quedarse atrás, la fiscal general de Michigan, Dana Nessel, dijo que el robo de jugos "es otra forma nefasta que los malos han descubierto que les permite robar y sacar provecho de lo que no les pertenece".

Contrariamente a las comunicaciones del gobierno, la gran mayoría de los expertos en seguridad cibernética no advierten que el robo de jugos es una amenaza a menos que sea el objetivo de los piratas informáticos del estado-nación. No hay casos documentados de extracción de jugo en la naturaleza. Queda fuera de los avisos que los dispositivos iPhone y Android modernos requieren que los usuarios hagan clic en una advertencia explícita antes de que puedan intercambiar archivos con un dispositivo conectado por cables estándar.

"En un nivel alto, si nadie puede señalar un ejemplo del mundo real de lo que realmente sucede en espacios públicos, entonces no es algo que valga la pena enfatizar para el público en general", dijo Mike Grover, un investigador que diseña herramientas de piratería ofensivas y hace investigación de hacking ofensivo para grandes empresas, dijo en una entrevista. "En cambio, apunta a la viabilidad solo para situaciones específicas. Las personas en riesgo de eso, con suerte, tienen mejores defensas que una advertencia nebulosa".

Añadió: "He oído hablar de personas que alteran intencionalmente el voltaje de los cargadores públicos, pero eso es algo tonto y malicioso. Cuando se trata de fuentes de carga pública, siento que un mayor riesgo es la mala calidad de la energía y los conectores dañados".

Hay casos extremos que permiten que los teclados, o los dispositivos que se hacen pasar por teclados, ingresen comandos que hacen cosas maliciosas cuando están conectados a un dispositivo iPhone y Android. Pero esos ataques deben personalizarse para cada modelo de teléfono diferente que se conecte. Además, tales técnicas tienen limitaciones significativas que las hacen poco prácticas para el robo de jugo.

Más sobre estos casos extremos y sus deficiencias más adelante. En resumidas cuentas, nadie en los últimos cinco años ha demostrado un ataque de extracción de jugo viable en un dispositivo que ejecuta una versión moderna de iOS o Android. Los representantes de Apple no están al tanto de ningún ataque de este tipo que ocurra en la naturaleza (los representantes de Google no respondieron a numerosas solicitudes de comentarios), y tampoco pude encontrar ningún experto en seguridad que supiera de ninguno. Y como se señaló anteriormente, no hay casos documentados de extracción de jugo en la naturaleza.