Todo empezó con el USB de aquél hacker

Me parece que se me había pasado comentaros pero…

Cuando alguien se entera de que su equipo está infectado, automáticamente aparece una pregunta en su mente, ¿cómo ha ocurrido ésto? Primero se piensa en los archivos recientemente descargados/instalados, después en las páginas visitadas, y si no aparece ninguna respuesta contundente en los dos casos previos, se acaba desistiendo y maldiciendo la situación. Aunque no me atrevería a decir que la tercera opción posible que os voy a explicar sea la más común, sin duda es una. Los USBs son un periférico que puede llegar a tener un gran poder sobre muchos factores de los equipos, ya sea tanto para cosas buenas como por supuesto, para cosas más oscuras.

Gracias a los estragos que causaron los autorun.inf en el pasado (como se puede inferir por su nombre, ejecución automática al ser insertado), muchas personas han aprendido que coger un USB del suelo y ponerlo en el equipo no resulta algo seguro. De todas formas, existe otra manera de lograr objetivos maliciosos haciendo uso de ese querido periférico que muchos ni se plantean. Estos ataques principalmente se aprovechan de situaciones en las que los puertos USB se encuentran al descubierto y que cualquier persona puede acceder a ellos sin levantar mucha sospecha (estando el equipo encendido o incluso apagado). Aunque parezca algo poco común, si pensáis un poco, rápidamente os vendrán muchas situaciones que encajan: oficinas bancarias, centros policiales, consultas medicas… Un atacante malicioso o un hacker podría tomar ventaja e introducir un USB en dicho terminal y crear muchos quebraderos de cabeza al dueño o responsable del mismo.

Empezando por uno de los más conocidos, nos encontramos con el BadUSB. Estos USBs trabajan sobre una premisa muy básica a la vez que ingeniosa. Se basa en hacer que el equipo interprete que al introducir el USB realmente se ha conectado, por ejemplo, un teclado o ratón regular. Posteriormente, se ejecutan unos payloads de pulsaciones pre-programadas (usando un lenguaje de scripting sencillo) a una velocidad mayor que 1000 pulsaciones por minuto. Cada una de estas pulsaciones se considerarán completamente benignas para el equipo, ya que vienen de un teclado «supuestamente» normal. La cantidad de ataques que se pueden realizar son casi infinitos: creación de puertas traseras, envío de archivos confidenciales a servidores FTP, copia de datos personales y cookies… (podéis encontrar ejemplos de payloads en Github). Uno de los USBs más famoso de este tipo es el Rubber Ducky, pero existen varios con funcionalidades similares, como pueden ser Malduino  o USBdriveby.

El robo de información privada o la propia infección del equipo puede resultar aterrador para muchos, pero las posibilidades que dan los USBs maliciosos van mucho más allá. Más concretamente, un atacante podría llegar a «freír», literalmente, nuestro hardware. Así como lo leéis, simplemente insertando un USB, podríamos llegar a quedarnos sin nuestros datos locales (bueno, si no realizamos un trabajo de ingeniería forense). El funcionamiento, al igual que en el caso de BadUSB, resulta sencillo pero muy ingenioso. Cuando el USB es insertado, comienza a cargar los condensadores internos. Tras finalizar la carga, los descarga a través del propio puerto. Este ciclo de carga y descarga se repite varias veces por segundo. El proceso se ejecuta en bucle hasta que el USB es extraído. Las consecuencias son casi instantáneas, el equipo caerá en cuanto el USB sea introducido. El USB no es de un solo uso, se puede usar tantas veces como se quiera en cuantos equipos se desee, ya que realmente no está realizando un trabajo extremadamente perjudicial para los condensadores.

Es muy importante comentar que estos ataques no solo afectan a equipos de sobremesa o portátiles, sino que practicamente todos los aparatos que tienen puertos (e.g., smartphones y tablets) pueden sufrir en una medida u otra alguno de estos ataques, sino ambos.

El que avisa no es traidor.

Iskander Sanchez-Rola
Acerca de
Founder/Content Director
Expertise: Web Security and Privacy
iskander-sanchez-rola.com