¿Conectarías un USB que has recibido por correo?

22 Sep 2016

No sé vosotros, pero [sarcasmo on], pero ME ENCANTA abrir mi buzón de correo electrónico y encontrar un correo no deseado. Ya sabéis, spam [sarcasmo off].

Qué levante la mano quien esté de acuerdo conmigo.

Vale, bromas aparte, a nadie le gusta encontrar cosas no deseadas en sus buzones, ya sean físicos o virtuales. Sin embargo, los genios del marketing pueden demostrar que la publicidad vía e-mail o correo, conocida también como “correo directo” (incluso la publicidad genérica) puede hacer que mucha gente se convierta en clientes

Pero ¿por qué estamos hablando de marketing en un blog sobre seguridad informática?

¡Gracias por preguntarlo! Resulta que la policía de Melbourne, Australia, ha empezado a alertar a sus ciudadanos y les pide que no conecten a sus ordenadores los dispositivos USB que puedan recibir por correo.

La policía advierte que “los dispositivos USB pueden ser extremadamente peligrosos y se recomienda evitar conectarlos a los ordenadores o en otros dispositivos”.

Cuando los delincuentes planificaban su estrategia para hacer que la gente instalara malware en sus ordenadores sin necesidad de recurrir a los métodos tradicionales de la ciberdelincuencia, creo que debieron pensar: “mira, esto ha funcionado con AOL”.

Aunque esta táctica puede parecer un poco anticuada, no es para nada extraño encontrar una empresa que haya sido infectada por medio de un malware que se encontraba en un USB encontrado en un aparcamiento. A principios de este año, hemos hablado de un experimento llevado a cabo por Elie Bursztein y cuyo objetivo era estudiar que pasaría si se dejara en el suelo del campus de una universidad un dispositivo USB. El 48% de los USB recogidos del suelo se insertó en un ordenador.

Para los criminales, las probabilidades de tener éxito pudieron ser muy altas. Esperamos que la advertencia de la policía haya llegado a tiempo.

A pesar de que este accidente ha ocurrido en una ciudad en Australia, esta historia nos recuerda que hay una parte de la seguridad personal que debemos reforzar: nunca conectes dispositivos desconocidos a tu ordenador.

Desde luego puede parecer fácil adivinar que tipo de personas conectaría un USB a un dispositivo: sin educación, mayores o poco inteligentes. Pero no es este el caso. El test de Bursztein muestra que hasta los nativos digitales caerían en la tentación al ver un USB en el suelo del campus y lo conectarían, pues solo verían un dispositivo que les ha salido gratis.

Los configuración de arranque automático podría llevar a otro nivel los malware procedentes de los USB. Si un ordenador está programado para ejecutar automáticamente los programas presentes en los dispositivos USB, conectarlo podría generar una reacción en cadena. Si la carga es un ransomware, por ejemplo, automáticamente bloqueará los archivos y forzará al usuario a buscar un descifrador o a pagar a los delincuentes.

Otros tipos de malware registran las pulsaciones en pantalla, roban información sensible o les bombardean con adware. Luego están los system killers.

Aparte de todo lo malo que ya hemos mencionado, la gente que conecta dispositivos que se han encontrado a sus ordenadores, la jugada podría costarles cara porque podrían romper sus dispositivos.

Puede sonar a ciencia ficción, pero es cierto: un dispositivo USB puede freír un ordenador a través del puerto. Este mes he visto artículos en los que se dice que USB Killer 2.0 está rompiendo muchos ordenadores. En principio, el dispositivo acumula energía mediante el puerto USB y luego la descarga en el ordenador, lo que causa un cortocircuito. El precio de los ordenadores varía según el modelo y la potencia, pero os aseguramos que nadie quiere tener que comprar uno nuevo de inmediato.

Pero tengo antivirus y analizará primero el dispositivo…

Por supuesto, un antivirus provee de protección contra malware, pero debemos contarte otro problema con los dispositivos USB sorpresa: el malware puede no ser el único peligro que haya dentro de ese dispositivo extraíble.

Uno es responsable de lo que se encuentra. En caso de encontrar un USB, podría acarrearte graves consecuencias. Los dispositivos extraíbles podrían contener documentos obtenidos de forma ilegal, fotos ilícitas, información bancaria y más. Aunque el que lo ha encontrado puede no darse cuenta, simplemente el hecho de tener algunos de estos archivos podría hacerle cómplice de algún delito.

Hagamos una pequeña encuesta. ¿A quién le gusta abrir correo basura? ¿Quién quiere saber lo que contiene un dispositivo encontrado?

La verdadera pregunta debería ser: ¿vale la pena?

Si tienes amigos, familia o colegas de trabajo que conectarían un USB, comparte este artículo con ellos. Después de todo, seguro que te llamarán a ti para que les ayudes a solucionarlo.