usb
¿Tus fotos y otros datos se pueden descargar o borrar de tu smartphone mientras se está cargando desde un puerto de carga público, por ejemplo, en el transporte público, en una clínica, en el aeropuerto y otros lugares? A pesar de las medidas de seguridad de los fabricantes, a veces es posible.
Los hackers inventaron por primera vez este tipo de ataques allá por el 2011: si un puerto de carga USB aparentemente inocente no solo suministra electricidad, sino que contiene un ordenador oculto, se puede conectar al teléfono inteligente en modo de transferencia de datos mediante el protocolo de transferencia de medios (MTP) o el protocolo de transferencia de imágenes (PTP), y extraer los datos del dispositivo. Este ataque se conoció como juice-jacking, y tanto Google como Apple crearon rápidamente una medida de seguridad: cuando un teléfono inteligente se conecta a un dispositivo compatible con los MTP o PTP, se le pregunta al usuario si desea permitir la transferencia de datos o solo la carga del dispositivo. Durante muchos años, esta sencilla precaución pareció resolver el problema; hasta 2025. Porque un grupo de investigadores de la Universidad Tecnológica de Graz, en Estiria (Austria), descubrió una forma de eludirla.
Ataque ChoiceJacking
En los nuevos ataques (denominados ataques ChoiceJacking), un dispositivo malicioso que se camufla como estación de carga confirma por sí solo que la víctima supuestamente quiere conectarse en modo de transferencia de datos. Dependiendo del fabricante y de la versión del sistema operativo, existen tres variantes de este ataque. Cada variante encuentra una forma distinta de eludir alguna limitación del protocolo USB: un dispositivo no puede funcionar al mismo tiempo en modo host (como un ordenador) y en modo periférico (por ejemplo, como un ratón o un teclado).
El primer método es el más complejo, pero funciona tanto en iOS como en Android. Un microordenador se camufla como estación de carga. Este microordenador se puede conectar a un teléfono inteligente como teclado USB, host USB (ordenador) y teclado Bluetooth.
Cuando se conecta el teléfono inteligente, la estación maliciosa emula un teclado USB y envía comandos para activar el Bluetooth y conectarse a un dispositivo Bluetooth. Es el mismo ordenador malicioso, que ahora se hace pasar por un teclado Bluetooth. Después de eso, el sistema vuelve a conectarse por USB, pero ahora se hace pasar por un ordenador. El teléfono inteligente pregunta al usuario si permite la transferencia de datos, y el dispositivo malicioso confirma la solicitud a través de una “pulsación de tecla” por Bluetooth.
El segundo método solo funciona en Android y no requiere Bluetooth. El cargador malicioso finge ser un teclado USB y satura el teléfono inteligente con pulsaciones de tecla, lo que hace que el búfer de entradas se sobrecargue. Mientras el sistema operativo intenta procesar estas entradas sin sentido, el cargador se desconecta y se vuelve a conectar, pero esta vez como un ordenador. Luego, aparece un mensaje en pantalla para preguntar en qué modo tiene que conectarse. Y justo en ese momento, se reproduce la cola del búfer de entradas del teclado, que contiene una secuencia de pulsaciones de tecla que confirma la conexión en modo de transferencia de datos (MTP, PTP o incluso en modo de depuración ADB).
El tercer método (también exclusivo para Android) aprovecha el hecho de que todos los teléfonos inteligentes probados implementan de manera incorrecta el protocolo de acceso abierto de Android (AOAP). El dispositivo malicioso se conecta de inmediato como un ordenador, y cuando aparece la pantalla de confirmación, envía los eventos de pulsaciones de tecla necesarios mediante el AOAP. Según el protocolo, está prohibido el funcionamiento simultáneo en los modos host USB y AOAP. Pero en la práctica, esta restricción suele ignorarse.
¿Qué dispositivos están protegidos del ChoiceJacking por USB?
Tanto Apple como Google bloquearon estos métodos de ataque en iOS/iPadOS 18.4 y en Android 15, respectivamente. Ahora bien, para confirmar la transferencia de datos por USB, no basta con solamente pulsar Sí: tienes que aprobar la autenticación biométrica o introducir una contraseña. Lamentablemente, en Android, la versión del sistema operativo por sí sola no garantiza la seguridad de tu teléfono inteligente. Por ejemplo, los dispositivos Samsung con la interfaz One UI 7 no solicitan autenticación, ni siquiera después de actualizarse a Android 15.
Por eso, se aconseja a los usuarios de Android que hayan actualizado a Android 15 que conecten su teléfono inteligente a un ordenador seguro y conocido con cable, y comprueben si se requiere introducir una contraseña o implementar la confirmación biométrica. De lo contrario, evita las estaciones de carga públicas.
¿Cómo de grave es este problema y qué debes hacer para protegerte?
Si bien los organismos de las fuerzas de seguridad han advertido de vez en cuando sobre los ataques de robo de datos por USB (1, 2), nunca se han registrado públicamente ataques en el mundo real. Esto no significa que nunca hayan ocurrido, pero está claro que no se trata de una amenaza generalizada.
Si te preocupa este tipo de ataques, solo debes cargar tus dispositivos con tu propio cargador o banco de energía de confianza, o bien utilizar un bloqueador de datos USB. Es un adaptador que solo permite el flujo de energía a través del cable e impide la transmisión de datos. Estos adaptadores, también llamados “condones USB”, son bastante eficaces. Pero pueden ralentizar la carga en los smartphones más nuevos, ya que también bloquean las señales de datos necesarias para el modo de carga rápida. Otra opción es utilizar un cable USB barato de solo carga (que no puede transmitir datos), pero primero debes probarlo con un ordenador de confianza para asegurarte de que no aparezca ningún aviso de transferencia de datos en la pantalla; después tendrás que llevarlo contigo a todas partes. Y ten en cuenta que tampoco permite la carga rápida.
La medida de protección más importante y ampliamente disponible es actualizar a las últimas versiones de Android o iOS.
Si alguna vez te encuentras en apuros (con un sistema operativo desactualizado, sin bloqueador y con la necesidad urgente de usar el cargador USB más cercano), mantente alerta mientras cargas tu dispositivo. Cuando conectes el teléfono, observa la pantalla: si no empieza a cargar de inmediato y te pide que escojas el tipo de conexión, elige Solo carga. Si realmente te preocupan tus datos, es mejor desconectarlo y buscar un puerto menos “inteligente”.
Para obtener más información sobre otros ataques inusuales a los teléfonos inteligentes, consulta estos artículos:
Consejos