Lo
que
comenzó
como
una
simple
comodidad
—tener
la
opción
de
conectar
el
móvil
a
una
estación
de
carga
USB
pública
en
aeropuertos,
estaciones
o
cafeterías—
se
ha
convertido
en
un
riesgo
de
seguridad
creciente.
Desde
hace
años,
expertos
han
advertido
sobre
el
juice
jacking,
una
técnica
que
utiliza
estos
cargadores
para
robar
datos
o
instalar
malware
en
dispositivos
móviles.
Pero
ahora,
una
amenaza
más
sofisticada
y
sigilosa
ha
irrumpido
en
escena:
el
choicejacking.
Esta
nueva
técnica
no
necesita
convencer
al
usuario
para
que
acepte
una
transferencia
de
datos,
y
tampoco
requiere
que
el
teléfono
esté
desbloqueado.
Se
limita
a
actuar
en
milisegundos,
por
debajo
del
umbral
de
la
percepción
humana.
Y
lo
hace
de
forma
tan
precisa
que
puede
eludir
los
controles
de
seguridad
más
recientes
de
Android
y
iOS.
qué
es,
cómo
infecta
y
cómo
protegerse
Una
evolución
del
robo
digital
silencioso
Durante
años,
el
juice
jacking
ha
sido
más
una
amenaza
teórica
que
real:
pese
a
la
alarma,
no
se
han
registrado
ataques
masivos.
Sin
embargo,
el
choicejacking,
detectado
por
primera
vez
en
julio
de
este
año,
ha
encendido
las
alertas
de
compañías
como
Kaspersky,
y
ha
motivado
advertencias
públicas
de
organismos
como
la
Administración
de
Seguridad
en
el
Transporte
(TSA)
de
Estados
Unidos.
El
problema
es
que
esta
amenaza
funciona
simulando
interacciones
humanas:
en
menos
de
133
milisegundos,
la
estación
de
carga
maliciosa
puede
inyectar
comandos
que
autorizan
la
transferencia
de
datos
sin
que
el
usuario
lo
advierta.
En
la
práctica,
es
como
si
el
teléfono
hubiera
recibido
una
orden
invisible
para
abrir
la
puerta
a
los
atacantes.
Así
opera
el
choicejacking
Investigadores
de
la
Universidad
Técnica
de
Graz
han
descrito
con
detalle
cómo
funciona
esta
técnica:
el
cargador
comprometido
se
presenta
ante
el
móvil
como
un
teclado
o
ratón
USB,
y
simula
una
serie
de
acciones
que
desbloquean
permisos
críticos.
En
algunos
casos,
logra
incluso
activar
el
modo
de
transferencia
de
archivos
automáticamente,
sin
intervención
del
propietario
del
dispositivo.
Según
explica
Dmitry
Galov,
investigador
de
Kaspersky,
«La
sofisticación
de
este
ataque
hace
que
no
necesite
ingeniería
social
ni
fallos
de
hardware.
Solo
requiere
que
conectes
tu
móvil
a
un
puerto
malicioso.
Y
si
eso
ocurre,
podrías
estar
regalando
tus
datos
personales,
contraseñas
o
credenciales
bancarias
sin
saberlo».
En
Android,
la
técnica
explota
lagunas
en
el
protocolo
AOAP
(Android
Open
Accessory
Protocol),
mientras
que
en
iOS
se
aprovecha
de
pequeñas
ventanas
de
tiempo
en
las
que
el
sistema
aún
no
ha
exigido
autenticación
biométrica
o
por
PIN.
El
riesgo
es
especialmente
elevado
en
dispositivos
con
interfaces
personalizadas
como
One
UI
(Samsung),
donde
algunos
ajustes
de
seguridad
no
están
activados
por
defecto.
Aunque
tanto
Apple
como
Google
han
lanzado
parches
en
iOS
18.4
y
Android
15
para
mitigar
esta
amenaza,
la
protección
depende
en
gran
medida
del
fabricante
y
del
modelo
específico
del
terminal.
Por
ahora,
tampoco
hay
evidencia
de
que
el
choicejacking
haya
sido
utilizado
en
ataques
dirigidos
a
gran
escala.
Sin
embargo,
su
mera
existencia
plantea
serias
dudas
sobre
la
confianza
que
los
usuarios
depositan
en
infraestructuras
de
carga
públicas.
Recomendaciones
para
protegerse
Expertos
coinciden
en
que
la
mejor
defensa
es
la
prevención.
Estas
son
algunas
recomendaciones
clave:
-
Evite
los
cargadores
públicos
USB
siempre
que
sea
posible.
En
su
lugar,
utilice
adaptadores
propios
conectados
directamente
a
enchufes
de
corriente. -
Utilice
cables
de
carga
que
no
transfieran
datos
o
dispositivos
conocidos
como «condones
USB»,
que
bloquean
la
línea
de
datos.
-
Cargue
su
dispositivo
mediante
baterías
portátiles
o
cargadores
solares
si
va
a
pasar
tiempo
fuera
de
casa
o
de
la
oficina. -
Mantenga
su
sistema
operativo
actualizado,
ya
que
las
últimas
versiones
de
Android
e
iOS
incorporan
medidas
de
mitigación
frente
al
choicejacking. -
No
confíe
en
estaciones
de
carga
que
no
sean
de
proveedores
oficiales
o
que
estén
instaladas
en
lugares
sin
supervisión.
El
futuro
de
la
ciberseguridad
móvil
El
auge
del
choicejacking
marca
un
nuevo
punto
de
inflexión
en
la
seguridad
digital
cotidiana.
Si
bien
los
fabricantes
están
acelerando
sus
respuestas
con
nuevas
capas
de
autenticación,
el
desafío
sigue
siendo
enorme:
cualquier
punto
de
contacto
entre
el
usuario
y
una
infraestructura
desconocida
—sea
un
puerto
USB,
una
red
Wi-Fi
o
incluso
un
simple
código
QR—
puede
convertirse
en
una
vía
de
ataque.
Y,
como
siempre,
el
eslabón
más
débil
sigue
siendo
el
mismo:
la
confianza
del
usuario
en
que
nada
puede
pasar
mientras
el
móvil
se
carga.
Imagen
|
Marcos
Merino
mediante
IA
En
Genbeta
|
Cuando
hasta
conectarse
al
WiFi
de
Starbucks
es
un
riesgo
de
que
te
usen
para
minar
critpomonedas
