¿Por qué los USB son tan inseguros?
El USB fue un gran avance ante los discos compactos y disquetes, pero trajo consigo riesgos.
Los expertos en seguridad cibernética, Karsten Nohly y Jakob Lell concluyeron que un USB puede contener "malware" incluso si está formateado.
Según los expertos no hay forma de defenderse ante la vulnerabilidad de los USB.
Cuando la humanidad estaba luchando con los discos compactos y disquetes, la llegada de la unidad USB fue un alivio para el mundo digital. Gracias a ésta, se podían almacenar y transferir datos de manera rápida y sencilla.
La unidad USB (Universal Serial Bus, en inglés) es un dispositivo de almacenamiento que se utiliza para guardar información una memoria tipo flash, una memoria no volátil y reescribible. Se conoce también, entre otros nombres, como lápiz de memoria, memoria externa o lápiz USB, y en inglés se le llama también "pendrive".
Pero como toda moneda tiene dos caras, estos pequeños artilugios, además de ser altamente útiles, también son potenciales portadores del llamado "malware" o software infeccioso; aquel que puede ser usado para interrumpir el funcionamiento del ordenador, obtener información sensible, o tener acceso a los sistemas informáticos privados.
Y la vulnerabilidad va más allá, según un estudio que acaba de ver la luz. "Un USB puede contener malware incluso cuando está formateado", acaban de concluir Karsten Nohl y Jakob Lell, dos expertos en seguridad cibernética con base en Berlín. Por tanto, incluso si los datos almacenados en él han sido borrados.
La resolución es tajante. Según el dúo de investigadores, dicha tecnología es "críticamente deficiente" y, por lo tanto, "no hay forma práctica de defenderse contra esa vulnerabilidad".
Sabotaje internacional
Los USBs se han empleado en casos de sabotaje internacional.
El ejemplo más notable es el de Irán. Este país mantuvo sus instalaciones de enriquecimiento de uranio aisladas por espacio de aire, pero en 2010 el virus Stuxnet fue capaz de paralizar las centrifugadoras principales después de unos trabajadores distraídos conectaran dispositivos USB infectados que habían sido desechados por espías. El investigador que identificó el virus, Ralph Langer, especuló publicamente sobre el origen israelí del software infectado, en septiembre de ese año.
Menos de un año después, en febrero de 2011, en una conferencia ofrecida para TED Talk dijo: "Mi opinión es que el Mossad estuvo involucrado, pero la fuerza líder de la operación no fue Israel. Esa fuerza líder es la superpotencia cibernética, la única que existe: Estados Unidos".
Pero esa amenaza también afecta a otros usuarios, los de a pie. Quien no lo sufrió en carne propia conoce a alguien que infectó su computadora con un virus al usar un lápiz de memoria con software "malicioso".
En una demostración llevada a cabo la pasada semana en la conferencia de hackers Black Hat, de Las Vegas (EE.UU.), Nohl y Lell mostraron lo que puede ocurrir cuando un USB con software infectado se inserta en una computadora.
Amenaza del día a día
El código "maligno" implantado en la máquina hizo a ésta pensar que se le había enchufado un teclado. En pocos minutos el teclado fantasma comenzó a escribir comandos y ordenó al ordenador descargar un programa de internet.
Los expertos en seguridad cibernética también hicieron una demostración en exclusiva para BBC.
Nohl conectó un teléfono inteligente a una computadora, para que éste se cargara. Lo hizo por medio de una conexión USB. Con ello, consiguió engañar a la máquina y le hizo pensar que lo que le fue insertado era una tarjeta en red.
Así, cuando el usuario accedió a internet, su navegación fue "secretamente secuestrada", explicó el investigador a Dave Lee, reportero de tecnología de BBC.
Y como consecuencia, pudo crear una copia falsa de la página web de PayPal, una compañía de comercio electrónico internacional que permite pagar y transferir dinero a través de internet. Gracias a ello, robó las claves de acceso del usuario a ese sistema, dejando así patente la facilidad con la que podría robarle dinero de su cuenta en PayPal y hacer trasferencias en su nombre.
"Básicamente, no se puede confiar en una computadora una vez que se haya conectado a ella una memoria USB", concluyó Nohl.
Consejos para aumentar la seguridad
Mike McLaughlin, un investigador de seguridad de First Base Technologies consultado por BBC, dijo que la amenaza debe ser tomada en serio. "Y es que el USB es ubicuo en todos los dispositivos", señaló.
"Cualquier empresa siempre debe tener políticas establecidas respecto a los dispositivos USB y unidades USB. Y si fuera necesario, deberían dejar de usarlos", cree McLaughlin.
Amichai Shulman, experto en protección de datos de Imperva, está de acuerdo. Sin embargo, explicó a BBC Mundo que el usuario común poco puede hacer ante esa vulnerabilidad.
"Uno no puede andar pensando que todos los dispositivos USB, cada memoria externa que se compra, contienen software infeccioso", dijo por teléfono desde Israel.
Y aconseja lo obvio: "Si encuentra un USB en la calle, no lo inserte en su computadora".
Rajib Singha, bloguero experto en seguridad tecnológica, matiza esa sugerencia: "Incluso si va a usar un lápiz de memoria de un amigo, verifique antes que no tiene un virus".
Además, amplía la lista de consejos para hacer un uso lo más seguro posible de las unidades USB en el blog de Quick Heal Technologies.
Alguno es tan evidente como el de no usar un USB encontrado en la calle: "No almacene en esos dispositivos información como el número de la seguridad social, la clave de la tarjeta de crédito ni otros datos similares".
Y termina con otra recomendación sencilla: "Nunca utilice la misma memoria USB para el trabajo y en casa", apunta Singha.
En manos de fabricantes
El grupo responsable del estándar USB, USB Working Party, se negó a comentar sobre la seriedad de la amenaza vertida por los investigadores.
Pero en términos generales, dijo a BBC: "Las especificaciones de USB son compatibles con capacidades adicionales para la seguridad, pero los fabricantes de los equipos originales deben decidir implementar o no estas capacidades en sus productos".
La primera consecuencia de hacer que estos dispositivos fueran más seguros sería, según USB Working Party, el aumento del precio de los mismos. Y frente a ello, quien tiene la última palabra es el usuario: "Los consumidores decidirán en el día a día cuánto quieren pagar por ese beneficio (de la seguridad añadida)".
"En el caso de que exista una demanda de mayor seguridad, esperamos que los fabricantes le den respuesta", añadió.
Mientras eso ocurra, los expertos en seguridad lo tienen claro: "El único consejo posible es ser muy cuidadosos al conectar dispositivos USB a nuestras máquinas".
Por lo tanto, "hay que cambiar costumbres", dijeron a BBC.