En un estudio reciente, investigadores de Google y de las universidades de Illinois y Michigan dejaron caer alrededor de 300 memorias USB en el campus de la Universidad de Illinois en Urbana-Champaign y observaron cuántas eran efectivamente conectadas a las máquinas de los estudiantes.

Plantar dispositivos infectados esperando que alguien conecte alguno es una técnica clásica de pentesting, y si sigues la serie Mr. Robot recordarás que Darlene la puso en práctica para que Elliot pudiera acceder al sistema de la prisión.

Las empresas pierden en promedio 12.000 registros de clientes por unidades USB extraviadas

Los resultados del estudio fueron alarmantes y demuestran lo peligrosos que pueden ser los dispositivos USB. "Descubrimos que los usuarios recogieron, conectaron e hicieron clic en archivos de 48% de las unidades", comentaron los autores del informe. "Y no dudaron mucho: la primera unidad se conectó en menos de seis minutos".

Un número pequeño, solo 32%, tomó precauciones para protegerse de posibles amenazas. Entre los que consideraron usar medidas de protección, 16% analizó la unidad con su software antivirus, mientras que 8% confió en que su sistema operativo o software de seguridad lo mantendría protegido.

Quizá lo más sorprendente sea el hecho de que otro 8% "sacrificó" un equipo personal o utilizó recursos de la Universidad para proteger su equipo personal.

"Estas personas no son técnicamente incompetentes; más bien se podría decir que son miembros típicos de la comunidad, que se arriesgan un poco más que sus pares", explicaron los autores del informe.

"Concluimos con una lección aprendida y con la discusión de que las tácticas de Ingeniería Social (aunque menos técnicas) seguirán siendo un vector de ataque efectivo que nuestra comunidad aún no ha logrado abordar con éxito", señalaron.

La seguridad de las memorias USB es defectuosa por naturaleza

USB

Este estudio demuestra claramente que la curiosidad sigue estando en primer lugar, ya que las personas conectan memorias USB sin preocuparse demasiado por las posibles consecuencias.

22.000 memorias USB terminaron en tintorerías y 45% de ellas nunca se devolvieron

Ya hubo algunos ejemplos de ataques notables donde causaron daños significativos: el infame malware Stuxnet se propagó a través de plantas centrifugadoras de uranio iraníes mediante una unidad USB infectada, mientras que el mes pasado se dio a conocer que se encontraron 18 unidades con malware en una planta nuclear en Alemania.

El problema es que los ataques de malware iniciados desde unidades USB cada vez son más populares en el mercado negro. Los ciberdelincuentes reconocen que es una forma fácil de infectar personas o empresas.

Una táctica común entre ellos es ocultar código malicioso en el dispositivo, de modo que, cuando alguien la conecta, el código se ejecuta y se instala en el equipo sin que el usuario lo note. El malware luego se propaga a través de los equipos conectados y los criminales obtienen acceso a los datos del usuario o usan sus computadoras para atacar a su objetivo final.

Algunos códigos maliciosos de USB son más peligrosos que otros. Por ejemplo, el malware BadUSB le permite a un cibercriminal tomar el control de un equipo, alterar archivos sin ser detectado e incluso dirigir el tráfico de Internet del usuario: una forma muy útil de descargar un payload adicional.

Una versión más reciente, denominada USB Killer y desarrollada por el investigador Dark Purple, al parecer es capaz de "freír" la placa base de un equipo apenas unos segundos después de insertar el dispositivo en el puerto USB.

Algunos han llegado a argumentar que las unidades USB son inseguras por la misma naturaleza de su diseño. Karsten Nohl, el fundador y director científico de los Security Research Labs con sede en Berlín, ya había comentado que la mayoría de las unidades flash USB no cuentan con protección para su firmware (es decir, el software que se ejecuta en su interior, en el microcontrolador).

Esto significa que un programa malicioso puede reemplazar el firmware y, por ejemplo, enviar sus propios comandos a las unidades USB como si fuera un teclado.

La pérdida de unidades USB no es un problema nuevo

El hecho de que estos ataques sean una técnica cada vez más común entre los distintos tipos de ciberdelincuentes no es el único problema. También se ve agravado porque las memorias USB se pierden y roban con facilidad. Pueden terminar en cualquier parte, aunque a menudo los gobiernos y los departamentos de policía son los peores lugares.

Un estudio llevado a cabo por ESET a principios de año reveló que más de 22.000 memorias USB terminaron en tintorerías, y 45% de ellas nunca se devolvieron a sus propietarios.

Otras quedaron olvidadas en medios de transporte público, en especial trenes. Aunque muchas de ellas permanecen perdidas para siempre, algunas terminan en manos de criminales e individuos oportunistas.

La importancia de la educación

USB

El problema más grave al que nos enfrentamos es que la gente todavía desconoce los peligros implicados. Éste también es el caso en las empresas.

En 2011, un estudio realizado por el Instituto Ponemon demostró que una cantidad alarmante de empresas no cree que la protección de la información en las unidades USB sea una medida de alta prioridad. Además, menos de un tercio de las organizaciones creían que tenían las políticas adecuadas para prevenir el mal uso de las memorias USB.

Al contrario, casi la mitad de las grandes organizaciones perdieron información delicada o confidencial almacenada en unidades USB en solo los últimos dos años, y la tasa sigue subiendo significativamente. De acuerdo con las estadísticas, las organizaciones pierden en promedio 12.000 registros de clientes como consecuencia de unidades USB extraviadas.

Los expertos en seguridad dicen que es imprescindible informar y capacitar a los usuarios finales sobre los peligros y las buenas prácticas respecto al uso de las unidades USB. Las campañas de concientización sobre seguridad son una buena forma de mantener a la gente informada.

Algunas empresas adoptan un enfoque más agresivo y directamente prohíben el uso de las unidades USB en el entorno corporativo, incluso rellenan con pegamento las ranuras de los puertos USB, o prohíben la conexión a dispositivos externos que no son de confianza.

También es posible cifrar la información en las memorias USB para protegerla en caso de pérdida, aunque esta medida no protege a la empresa ante ataques externos.

Lamentablemente, los dispositivos USB seguirán siendo un riesgo para la seguridad. Las personas son propensas a perderlos y el éxito de los ataques de Ingeniería Social mediante unidades USB (como “olvidar” dispositivos en estacionamientos) significa que los ciberdelincuentes las seguirán considerando una manera fácil de acceder a las organizaciones.

Sin embargo, con una mayor capacitación sobre seguridad, más protección en las unidades USB y una creciente toma de conciencia respecto a las tácticas empleadas por los cibercriminales, podrás evitar ser otra víctima de estos ciberataques tan comunes y a la vez sorprendentes.