Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

Qué es el «Juice Jacking» y cómo nos afecta

Qué es el «Juice Jacking» y cómo nos afecta
Javier Puyol es socio director de Puyol Abogados & Partners. En su columna advierte contra el "juice-jacking", el robo de datos a través de puntos de carga públicos. Foto: Carlos Berbell/Confilegal.
11/7/2023 06:30
|
Actualizado: 11/7/2023 11:04
|

En esta noticia se habla de:

Quedarse sin batería en un momento del día o cuando estás de viaje, fuera casa o del lugar de trabajo puede ser algo común y muy habitual, y consecuentemente con ello, nos podemos sentir tentados de conectar el móvil a algún puerto USB para conseguir un poco de carga de la batería con la que podamos seguir recibiendo whatsapps, seguir haciendo fotos o poder realizar llamadas telefónicas, hasta el punto de poder encontrarnos incomunicados, y de repente descubrir un sitio donde recargarlo y solucionar el problema, bien de manera directa, bien a través de un cable USB que cumpla dicha función de posibilitar la recarga.

Y, sin embargo, con ello, probablemente en la mayoría de los casos, no somos mínimamente conscientes de los riesgos y las consecuencias que ello puede llevar consigo, hasta el punto de deteriorar el propio dispositivo, o la pérdida de los datos personales que en el mismo se contienen, y, es más, se asume el riesgo en todo momento con tal de ser capaces de encender el móvil y poder utilizarlo con normalidad.

En este sentido, debe tenerse en consideración que los puertos USB no solo constituyen un punto de carga de cualquier tipo de dispositivo informático, sino que también representan un punto para el intercambio de datos. 

Y aquí surge el llamado “Juice Jacking”, el cual puede afectar, tal como se ha indicado a los «smartphone» o teléfonos inteligentes, pero también a las «tablets», o a cualquier otro dispositivo de carácter informático.

El «Juice Jacking» no es posible si un dispositivo se carga a través del adaptador de corriente alterna que viene con el dispositivo, un dispositivo de respaldo de batería, o mediante la utilización de un cable USB con sólo cables de alimentación y sin cables de datos presentes.

«Los puertos USB no solo constituyen un punto de carga de cualquier tipo de dispositivo informático, sino que también representan un punto para el intercambio de datos»

El “Juice Jacking” es una falla de seguridad en la que los puntos de carga USB normalmente de carácter público, o abiertos al público en general, que se encuentran comprometidos se explotan delictívamente para atacar dispositivos vinculados.

Esta técnica se conoce como “Juice-Jacking, un término que fue utilizado por primera vez por el experto en seguridad Brian Krebs en el año 2011

Esto ocurre con carácter habitual cuando un atacante infecta un puerto USB por ejemplo con programas maliciosos o con un virus.

Los puertos públicos son accesibles a todo el mundo

El problema está en que esos puertos públicos están accesibles a todo el mundo, y eso hace que cibercriminales puedan aprovechar ese acceso libre para modificarlos y convertirlos en puertos capaces de instalar «malware» mientras estamos cargando esos dispositivos, o incluso utilizando cables de conexión y carga ajenos, lo que puede determinar que tanto el dispositivo cuya carga se pretende, como los datos e informaciones incorporados al mismo, puedan ser afectados, o accedidos maliciosamente por parte de terceros, especialmente en lo que se refiere a contraseñas, datos bancarios, o cualquier otra información de carácter personal, que pueda ser considerada como sensible o útil para cualquier cibercriminal.

Esto generalmente suele suceder en los puntos de carga públicos que pueden encontrarse de manera habitual en aeropuertos, estaciones de ferrocarril, centros comerciales y cualquier otro establecimiento público con carácter general.

El propósito de este ataque es recopilar de forma encubierta datos altamente confidenciales o inyectar el «malware» en el dispositivo que está siendo objeto de carga a través de un dispositivo USB.

La solución a este problema es siempre el uso preferente de nuestro propio cargador y cable USB para conectar nuestros dispositivos a una toma de corriente pública o de libre acceso, y tratar de no hacer uso de este tipo de puntos de recarga al no poder reconocer a simple vista si han sido manipulados por terceros.

Aunque debe insistirse en el hecho de que no es conveniente usar estos puntos de recarga, en caso de que sea necesario por una urgencia, es imprescindible que el usuario se asegure de que tiene desactivada la opción de transferencia de datos en el dispositivo.

En algunos, la opción “solo carga” suele venir por defecto, pero es recomendable verificarlo.

«Debe insistirse en el hecho de que no es conveniente usar estos puntos de recarga, en caso de que sea necesario por una urgencia, es imprescindible que el usuario se asegure de que tiene desactivada la opción de transferencia de datos en el dispositivo»

En otros, se habrá podido observar que siempre que se conecta el cable a un ordenador, aparece un mensaje que pregunta si se desea confiar en ese dispositivo y dejar que acceda a las fotos y vídeos.

En el último caso, ver este mensaje en un puerto de carga público debería hacer saltar las alarmas y, en cualquier caso, mostrarse conforme con la opción relativa a ‘’No permitir’’.

Aun así, debe reiterase que no es aconsejable cargar en estos lugares, ya que existen otras alternativas mucho más seguras, como pueden ser a título de ejemplo las baterías portátiles (power banks), que en la práctica son mucho más útiles para los viajes y la recarga en situaciones de emergencia

Existe una amplia variedad de modelos y tamaños adaptados a las necesidades que en cada momento puedan ir surgiendo, y salvar al usuario de algún que otro apuro.

Desde INCIBE se recomienda el hecho de llevar con nosotros siempre nuestro propio cable y adaptador, incluso uno auxiliar al que usamos en la empresa, también es una opción y, a día de hoy, una práctica casi necesaria, constituyendo otra opción interesante, la de utilizar los llamados “bloqueadores de datos USB”, que son básicamente unos dispositivos que permiten el paso de corriente para cargar el dispositivo, pero por el contrario producen el efecto de bloquear cualquier transferencia de datos que se produzca.

Hay diferentes tipos de ataques de “Juice-Jacking”, entre los cuales los más comunes son los que se indican seguidamente.

a). Ataque de robo de datos

Uno de los objetivos comunes de los ataques de “Juice-Jacking” es filtrar la información personal de los usuarios desprevenidos.

El robo real de los datos generalmente estará completamente automatizado y ocurrirá muy rápidamente.

Y dada la intimidad que tenemos con nuestros móviles hoy en día, esto podría llevar a tarjetas de crédito, cuentas bancarias, correo electrónico, registros de salud, etc. comprometidos.

Simplemente no vale la pena llevar a cabo una carga rápida del smartphone en estas condiciones.

b). Ataque de infección de «malware»/virus

Una vez que el atacante restaura las capacidades de transferencia de datos, puede fluir en ambos sentidos.

Eso significa que podrán cargar «malware» o un virus en el móvil.

Una vez infectado, el dispositivo será susceptible a todos los daños asociados con las infecciones de malware/virus:

(i) Pérdida de datos;

(ii) Pérdida de funcionalidad;

(iii) Conexiones de red aleatorias;

(iv) Ralentización del dispositivo;

(v) Instalación de otro malware, entre otras situaciones.

c). Ataque de múltiples dispositivos

Un ataque de múltiples dispositivos es esencialmente lo mismo que el ataque de infección de malware/virus, en el sentido de que el atacante infecta su dispositivo con malware.

La diferencia es simplemente que el malware que se cargó en el móvil está diseñado para infectar los otros puertos de carga USB en la estación de carga.

Eso amplía el ataque y permite que el atacante comprometa varios dispositivos simultáneamente, aumentando su carga útil.

d). Ataque inhabilitador

El móvil infectado por el “Juice-Jacking” puede quedar inhabilitado sin que se note.

En este tipo de ataque el móvil móvil se encuentra inhabilitado. 

Una vez conectado al puerto de carga infectado, el atacante cargará «malware» en el teléfono, deshabilitándolo efectivamente para el usuario legítimo mientras retiene el control total sobre el dispositivo para sí mismo. 

Los mismos daños que los anteriores se presentan en este tipo de ataque, con la ventaja adicional de que se pueden usar como parte de un ataque DDoS[v].

Recomendaciones

Como medidas recomendables para evitar la producción de este incidente de seguridad se suelen sugerir las que se exponen a continuación:

a). Quizás el enfoque más fácil para prevenir este tipo de ataques es resistirse el uso de puntos de carga comunitarios.

b). Llevar el propio «power bank como dispositivo de respaldo para cargar el móvil, la «tablets», o cualquier otro dispositivo informático.

En este sentido, debe tenerse presente que incluso los lugares con vigilancia estricta no siempre son seguros.

c). Nunca debe usarse un cable USB proporcionado por la estación de carga pública si el teléfono móvil necesita recargarse de inmediato.

En su lugar, es conveniente también usar un cable de carga propio.

d). Del mismo modo, es conveniente tener en cuenta que si se procede a inhabilitar el sistema de seguridad del dispositivo, las medidas y restricciones pueden dejar al mismo expuesto, y, por lo tanto, hay que evitar hacerlo.

Y, dado que existe la posibilidad de que contenga malware, hay que evitar instalar cualquier archivo o aplicación que se haya obtenido ilegalmente.

e). Y finalmente, existe la recomendación de usar un bloqueador de datos USB, ya que ciertamente con ello se restringe un acceso involuntario y consecuentemente, la transferencia de datos.

Estos bloqueadores de datos USB son una protección adicional para el dispositivo mientras está conectado [i].

Mediante el uso de tales medidas, tal como ha venido señalándose, se evita la contaminación de los dispositivos como consecuencia de la carga en lugares públicos o de libre acceso, y el que terceros o ciberdelincuentes puedan tener acceso a nuestros datos personales contenidos en el dispositivo, cuya carga se pretende.

———————- 

[i] Cfr.: JENIFA, Ashlin. Explicación de Juice Jacking: por qué debería evitar los puertos USB públicos”. Geekflare. 22 de mayo de 2023. Obra citada.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | Externalización de servicios en las empresas
    Opinión | Externalización de servicios en las empresas
  • Opinión | «Network, un mundo implacable», un filme que predijo lo que es nuestro mundo medio siglo atrás
    Opinión | «Network, un mundo implacable», un filme que predijo lo que es nuestro mundo medio siglo atrás
  • Opinión | Isabel la Católica, ¿reina ilegítima?
    Opinión | Isabel la Católica, ¿reina ilegítima?
  • Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
    Opinión | ¿Qué ocurriría si el presidente, Pedro Sánchez, anuncia su dimisión el lunes?
  • Opinión | Sostenibilidad: un suma y sigue para las empresas
    Opinión | Sostenibilidad: un suma y sigue para las empresas