Una nueva amenaza ha llamado la atención de la comunidad de la ciberseguridad en Los Ángeles, California. Acorde al fiscal de distrito, algunos puntos de carga USB públicos contienen un peligroso malware que podría infectar los dispositivos de los usuarios.
La alerta, publicada directamente por la Oficina del Fiscal, se refiere a reportes sobre una técnica conocida como “juice-jacking” (extracción de jugo), en la que un actor de amenazas carga de malware los cables USB y las estaciones de carga públicas. Posteriormente, sólo tienen que esperar a que algún usuario desprevenido conecte su smartphone o tableta para extraer datos y contraseñas.
A pesar de investigadores y expertos en ciberseguridad han demostrado anteriormente que este ataque es de hecho posible, la oficina del fiscal menciona que no tiene registro de casos de juice-jacking reales, aunque destacan que sí se han registrado ataques en la costa este. Al ser cuestionado sobre las razones para lanzar esta alerta de seguridad a pesar de que no existen casos conocidos, un portavoz del condado de Los Ángeles mencionó que se trata de una campaña de concientización contra el fraude electrónico.
No obstante, no todos comparten la misma postura de la oficina del fiscal. El especialista en seguridad Kevin Beaumont, a través de Twitter, declaró que él no se ha encontrado con “una sola evidencia de este ataque en escenarios reales”. El experto añade que, a pesar de que se han desarrollado diversas pruebas de concepto, ningún caso similar ha salido de los laboratorios de seguridad informática.
Por su parte, otros miembros de la comunidad de la ciberseguridad destacan que, si bien un ataque de esta clase es posible, es un enfoque de ataque ridículamente complejo e ineficiente, pues existen formas mucho más sencillas de comprometer la información en un dispositivo móvil. Además, la mayoría de los smartphones recientes cuentan con medidas de seguridad para prevenir este tipo de ataques, por lo que un ataque juice-jacking en escenarios reales requeriría encontrar un exploit demasiado poderoso.
A pesar de que aún no se conoce una técnica para extraer datos usando sólo un cable o cargador USB, especialistas del Instituto Internacional de Seguridad Cibernética (IICS) mencionan que esto es posible en teoría, por lo que los esfuerzos para desarrollar este ataque no se han detenido.
Hace algunos meses, el FBI emitió una alerta de seguridad acerca de este ataque después de la publicación de la investigación de Samy Kamkar, un especialista que desarrolló un implante diseñado para hacerse pasar por un cargador USB y rastrear claves de seguridad.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad