Una unidad USB o memoria externa puede tener software infeccioso incluso
si su contenido ha sido borrado. Frente a la conclusión de una reciente
investigación, BBC ha pedido sugerencias a expertos en seguridad cibernética.
La
unidad USB (Universal Serial Bus, en inglés) es un dispositivo de
almacenamiento que se utiliza para guardar información una memoria tipo flash,
una memoria no volátil y reescribible. Se conoce también, entre otros nombres,
como lápiz de memoria, memoria externa o lápiz USB, y en inglés se le llama
también "pendrive".
Pero
como toda moneda tiene dos caras, estos pequeños artilugios, además de ser
altamente útiles, también son potenciales portadores del llamado
"malware" o software infeccioso; aquel que puede ser usado para
interrumpir el funcionamiento del ordenador, obtener información sensible, o
tener acceso a los sistemas informáticos privados.
Y la
vulnerabilidad va más allá, según un estudio que acaba de ver la luz. "Un
USB puede contener malware incluso cuando está formateado", acaban de
concluir Karsten Nohl y Jakob Lell, dos expertos en seguridad cibernética con
base en Berlín. Por tanto, incluso si los datos almacenados en él han sido
borrados.
La
resolución es tajante. Según el dúo de investigadores, dicha tecnología es
"críticamente deficiente" y, por lo tanto, "no hay forma
práctica de defenderse contra esa vulnerabilidad".
Sabotaje
internacional
Los
USBs se han empleado en casos de sabotaje internacional.
El
ejemplo más notable es el de Irán. Este país mantuvo sus instalaciones de
enriquecimiento de uranio aisladas por espacio de aire, pero en 2010 el virus
Stuxnet fue capaz de paralizar las centrifugadoras principales después de unos
trabajadores distraídos conectaran dispositivos USB infectados que habían sido
desechados por espías. El investigador que identificó el virus, Ralph Langer,
especuló publicamente sobre el origen israelí del software infectado, en
septiembre de ese año.
Menos
de un año después, en febrero de 2011, en una conferencia ofrecida para TED
Talk dijo: "Mi opinión es que el Mossad estuvo involucrado, pero la fuerza
líder de la operación no fue Israel. Esa fuerza líder es la superpotencia
cibernética, la única que existe: Estados Unidos".
Pero
esa amenaza también afecta a otros usuarios, los de a pie. Quien no lo sufrió
en carne propia conoce a alguien que infectó su computadora con un virus al
usar un lápiz de memoria con software "malicioso".
En una
demostración llevada a cabo las pasada semana en la conferencia de hackers
Black Hat, de Las Vegas (EE.UU.), Nohl y Lell mostraron lo que puede ocurrir
cuando un USB con software infectado se inserta en una computadora.
Amenaza
del día a día
El
código "maligno" implantado en la máquina hizo a ésta pensar que se
le había enchufado un teclado. En pocos minutos el teclado fantasma comenzó a
escribir comandos y ordenó al ordenador descargar un programa de internet.
Los
expertos en seguridad cibernética también hicieron una demostración en
exclusiva para BBC.
Nohl
conectó un teléfono inteligente a una computadora, para que éste se cargara. Lo
hizo por medio de una conexión USB. Con ello, consiguió engañar a la máquina y
le hizo pensar que lo que le fue insertado era una tarjeta en red.
Así,
cuando el usuario accedió a internet, su navegación fue "secretamente
secuestrada", explicó el investigador a Dave Lee, reportero de tecnología
de BBC.
Y como
consecuencia, pudo crear una copia falsa de la página web de PayPal, una
compañía de comercio electrónico internacional que permite pagar y transferir
dinero a través de internet. Gracias a ello, robó las claves de acceso del
usuario a ese sistema, dejando así patente la facilidad con la que podría
robarle dinero de su cuenta en PayPal y hacer trasferencias en su nombre.
"Básicamente,
no se puede confiar en una computadora una vez que se haya conectado a ella una
memoria USB", concluyó Nohl.
Consejos
para aumentar la seguridad
Mike
McLaughlin, un investigador de seguridad de First Base Technologies consultado
por BBC, dijo que la amenaza debe ser tomada en serio. "Y es que el USB es
ubicuo en todos los dispositivos", señaló.
"Cualquier
empresa siempre debe tener políticas establecidas respecto a los dispositivos
USB y unidades USB. Y si fuera necesario, deberían dejar de usarlos", cree
McLaughlin.
Amichai
Shulman, experto en protección de datos de Imperva, está de acuerdo. Sin
embargo, explicó a BBC Mundo que el usuario común poco puede hacer ante esa
vulnerabilidad.
"Uno
no puede andar pensando que todos los dispositivos USB, cada memoria externa
que se compra, contienen software infeccioso", dijo por teléfono desde
Israel.
Y
aconseja lo obvio: "Si encuentra un USB en la calle, no lo inserte en su
computadora".
Rajib
Singha, bloguero experto en seguridad tecnológica, matiza esa sugerencia:
"Incluso si va a usar un lápiz de memoria de un amigo, verifique antes que
no tiene un virus".
Además,
amplía la lista de consejos para hacer un uso lo más seguro posible de las
unidades USB en el blog de Quick Heal Technologies.
Alguno
es tan evidente como el de no usar un USB encontrado en la calle: "No
almacene en esos dispositivos información como el número de la seguridad
social, la clave de la tarjeta de crédito ni otros datos similares".
Y
termina con otra recomendación sencilla: "Nunca utilice la misma memoria
USB para el trabajo y en casa", apunta Singha.
En
manos de fabricantes
El
grupo responsable del estándar USB, USB Working Party, se negó a comentar sobre
la seriedad de la amenaza vertida por los investigadores.
Pero en
términos generales, dijo a BBC: "Las especificaciones de USB son
compatibles con capacidades adicionales para la seguridad, pero los fabricantes
de los equipos originales deben decidir implementar o no estas capacidades en
sus productos".
La
primera consecuencia de hacer que estos dispositivos fueran más seguros sería,
según USB Working Party, el aumento del precio de los mismos. Y frente a ello,
quien tiene la última palabra es el usuario: "Los consumidores decidirán
en el día a día cuánto quieren pagar por ese beneficio (de la seguridad
añadida)".
"En
el caso de que exista una demanda de mayor seguridad, esperamos que los
fabricantes le den respuesta", añadió.
Mientras
eso ocurra, los expertos en seguridad lo tienen claro: "El único consejo
posible es ser muy cuidadosos al conectar dispositivos USB a nuestras
máquinas".
Por lo
tanto, "hay que cambiar costumbres".
Se recomienda leer es algo importante saludos
ResponderEliminar