¿Tan peligroso es conectar el móvil a un punto de recarga público?

Todo empezó con una advertencia del FBI de cara al viernes santo. “Evite utilizar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales. Actores malintencionados han descubierto formas de utilizar los puertos USB públicos para introducir malware y software de vigilancia en los dispositivos. Lleve su propio cargador y cable USB y utilice una toma de corriente”, publicó en Twitter la cuenta del organismo en Denver.

Es un aviso de ciberseguridad que podría haber emitido prácticamente cualquier institución del mundo. Como cita el cuerpo de seguridad estadounidense, el uso de estos puntos de recarga está desaconsejado: para un ciberdelincuente sería posible engancharse a ellos y comprometerlos para infectar cualquier dispositivo que se conecte a continuación. La práctica se conoce como juice-jacking o “estafa del cargador” y pese a que ha sido descrita muchas veces en los últimos años, el tuit del FBI se ha viralizado hasta convertirse en uno de los más compartidos de la historia de su cuenta.

El motivo es que alrededor del comentario del FBI se ha organizado una discusión en la que están participando expertos en ciberseguridad de todo el mundo. Su debate es si esta práctica es tan insegura como se transmite normalmente al público general. “No hay ni una sola prueba documentada de que se haya comprometido algún dispositivo con juice-jacking”, es el argumento más repetido por los críticos. ¿Es posible hacerlo? Sí. ¿Se ha hecho de verdad alguna vez? La comunidad de expertos de ciberseguridad no tiene constancia de ello.

“Es posible, pero no nos consta ningún caso real o malicioso sobre este tema”, explica a elDiario.es una portavoz del Instituto Nacional de Ciberseguridad (Incibe), el organismo español encargado de promover la seguridad digital de ciudadanos y empresas privadas. Pese a ello, el Incibe también tiene un artículo sobre los “Peligros de cargar tu móvil en el aeropuerto” en el que aconseja no hacerlo: “El riesgo de robo de información es alto, ya que el ciberdelincuente puede obtener acceso a cualquier dato en nuestro móvil, como, por ejemplo, fotos, ubicación, historial de llamadas, datos de aplicaciones, archivos, información bancaria, certificados digitales…”.

“Desde el punto de vista de la seguridad física, hace unos años surgieron unos pequeños dispositivos llamados USB Killers, que tienen en su interior unos condensadores con la función de generar altas descargas eléctricas (de hasta 220V), que pueden dañar el dispositivo y dejarlo totalmente inservible”, continúa el organismo: “Los ciberdelincuentes también pueden usar un sistema de comunicación conocido como AT, que se desarrolló hace unos años para permitir la comunicación entre módem y ordenador, que permite obtener información a través de la ejecución de unos sencillos comandos, como el IMEI, el número de teléfono, la conexión actual, etc.”, añade.

Mientras las instituciones optan por matar al perro y desaconsejar el uso de cualquier punto de recarga, el debate entre los especialistas ha evolucionado en varias direcciones. Una de ellas es si merece la pena que el usuario medio se exponga a otro tipo de problemas (como quedarse incomunicado en medio de un viaje) por evitar la posibilidad real pero remota de que su dispositivo sea infectado a través de uno de estos puertos. “Mira, ¿deberías acostumbrarte a usarlos? Para estar seguro, quizá no. Pero si tu teléfono está a punto de quedarse sin batería y no llevas un cargador encima, ¿deberías preocuparte tanto por usarlo como para dejarlo morir? No hay pruebas de ello”, resumía un abogado y forense digital.

Un condón digital

“Aunque no haya un caso [de juice-jacking] conocido, yo con mi gorro de investigador en ciberseguridad tengo que recomendar que la gente no se conecte porque técnicamente es posible hacerlo”, comenta a elDiario.es Guillermo Suárez-Tangil, especialista en análisis y detección de malware inteligente del Instituto Madrileño de Estudios Avanzados (IMDEA Networks). “No me sorprendería que se pudiese explotar una vulnerabilidad en versiones de algunos sistemas operativos de Android usando estos cargadores y que lo descubriéramos pasados unos años”, afirma.

“También es cierto que a lo mejor para usuarios finales esto no es algo que les debiera preocupar tanto”, añade a continuación el experto: “Si tienes un perfil más alto sí que hay que tomar ciertas precauciones, igual que los gobiernos con los teléfonos oficiales de sus empleados públicos, pero el usuario final no tiene por qué seguir este tipo de recomendaciones tan a fondo”.

Suárez-Tangil destaca además que hay métodos relativamente sencillos para asegurar la protección del dispositivo y evitar incidentes. Uno de ellos son los conocidos como “condones USB” o data blockers, que se conectan entre al cable de carga y evitan que este se utilice como vector de infección al taponar el paso de cualquier tipo de dato. Valen menos de 10 euros, por lo que son más baratos que las baterías portátiles que suelen recomendar los organismos de ciberseguridad.

Aunque el condón evite cualquier contagio, tanto este especialista como el Incibe recuerdan que la mayoría de sistemas operativos tienen la opción de desactivar la transferencia de datos a través de cable.

Si no hay pruebas de hackeo, ¿de dónde sale el aviso?

La otra línea de la discusión abierta entre los expertos en torno al juice-jacking ha sido desentrañar por qué las instituciones de seguridad empezaron a alertar sobre esta práctica. Lo que han descubierto es que al final de esa cadena no hay nada.

“Un agente del FBI me dijo que la advertencia de la oficina de Denver estaba basada en información de la FCC [la Comisión Federal de Telecomunicaciones estadounidense]”, revela en Mastodon Dan Goodin, editor de ciberseguridad de Ars Technica. “Un portavoz de la FCC me dijo que su información provenía de un artículo del 2019 de New York Times. Ese artículo citaba una advertencia de la oficina del fiscal de Los Ángeles, que fue retirada en diciembre de 2021, un par de semanas después de que se informara que los funcionarios de la oficina del fiscal no tenían casos y no podían confirmar que esto sucediera”.

“Sigo siendo escéptico de que el juice-jacking sea una amenaza en absoluto. ¿Qué pruebas hay que demuestren lo contrario?”, insistía Goodin: “Si puedo infectar tu dispositivo engañándote para que lo conectes a mi cable de alimentación trampa, me parece que tengo un 0day muy valioso que los fabricantes de dispositivos Apple y Android querrían parchear de inmediato. ¿Cómo es posible que esta amenaza haya existido durante tantos años sin ningún parche?”, se preguntaba.

Este es otro de los argumentos de los críticos. Un hacker que descubriera un agujero de seguridad de este tipo podría rentabilizarlo mucho más fácilmente comunicándoselo a las propias empresas afectadas que intentando ciberatacar indiscriminadamente a otros usuarios. El motivo es que si los ciberdelincuentes tendrían un método para colarse en los dispositivos de los usuarios sin ser detectados. Es decir: un malware desconocido por los fabricantes de Android y por Apple capaz de infectar sus teléfonos.

Esa información valdría mucho dinero. Todas las grandes tecnológicas tienen programas para recompensar a las personas que encuentran y notifican brechas de seguridad. Dependiendo de su gravedad, pueden llegar a pagar sumas muy altas. Tampoco hay noticias de que un hacker haya cobrado una recompensa por un descubrimiento de este tipo.