¿Se puede compensar la falta de seguridad en unidades USB?

En un estudio reciente, investigadores de Google y de las universidades de Illinois y Michigan dejaron caer alrededor de 300 memorias USB en el campus de la Universidad de Illinois en Urbana-Champaign y observaron cuántas eran efectivamente conectadas a las máquinas de los estudiantes. Plantar dispositivos infectados esperando que alguien conecte alguno es una técnica clásica de pentesting.

Los resultados del estudio fueron alarmantes y demuestran lo peligrosos que pueden ser los dispositivos USB. “Descubrimos que los usuarios recogieron, conectaron e hicieron clic en archivos de 48% de las unidades”, comentaron los autores del informe. “Y no dudaron mucho: la primera unidad se conectó en menos de seis minutos”. Un número pequeño, solo 32%, tomó precauciones para protegerse de posibles amenazas, entre los que consideraron usar medidas de protección. El 16% analizó la unidad con su software antivirus, mientras que 8% confió en que su sistema operativo o software de seguridad lo mantendría protegido.

Quizá lo más sorprendente sea el hecho de que otro 8% “sacrificó” un equipo personal o utilizó recursos de la Universidad para proteger su equipo personal. “Se podría decir que estas personas son miembros típicos de la comunidad, que se arriesgan un poco más que sus pares”, explicaron los autores del informe. “Concluimos con una lección aprendida y con la discusión de que las tácticas de Ingeniería Social (aunque menos técnicas) seguirán siendo un vector de ataque efectivo que nuestra comunidad aún no ha logrado abordar con éxito”, señalaron.

La seguridad de las memorias USB es defectuosa por naturaleza

Este estudio demuestra claramente que la curiosidad sigue estando en primer lugar, ya que las personas conectan memorias USB sin preocuparse demasiado por las posibles consecuencias. El problema es que los ataques de malware iniciados desde unidades USB cada vez son más populares en el mercado negro. Los ciberdelincuentes reconocen que es una forma fácil de infectar personas o empresas siendo una táctica común ocultar un código malicioso en el dispositivo, de modo que, cuando alguien la conecta, el código se ejecuta y se instala en el equipo sin que el usuario lo note. El malware luego se propaga a través de los equipos conectados y los criminales obtienen acceso a los datos del usuario o usan sus computadoras para atacar a su objetivo final.

Algunos han llegado a argumentar que las unidades USB son inseguras por la misma naturaleza de su diseño. Karsten Nohl, el fundador y director científico de los Security Research Labs con sede en Berlín, ya había comentado que la mayoría de las unidades flash USB no cuentan con protección para su firmware (es decir, el software que se ejecuta en su interior, en el microcontrolador). Esto significa que un programa malicioso puede reemplazar el firmware y, por ejemplo, enviar sus propios comandos a las unidades USB como si fuera un teclado.

La pérdida de unidades USB no es un problema nuevo

image004El hecho de que estos ataques sean una técnica cada vez más común entre los distintos tipos de ciberdelincuentes no es el único problema. También se ve agravado porque las memorias USB se pierden y roban con facilidad. Pueden terminar en cualquier parte, aunque a menudo los gobiernos y los departamentos de policía son los peores lugares.

Un estudio llevado a cabo por ESET a principios de año reveló que más de 22.000 memorias USB terminaron en tintorerías, y 45% de ellas nunca se devolvieron a sus propietarios. Otras quedaron olvidadas en medios de transporte público, en especial trenes. Aunque muchas de ellas permanecen pérdidas para siempre, algunas terminan en manos de criminales e individuos oportunistas.

La importancia de la educación

El problema más grave es que las personas y empresas todavía desconocen los peligros que implica el uso de este dispositivo sin medidas de seguridad.

Los expertos en seguridad señalan que es imprescindible informar y capacitar a los usuarios finales sobre los peligros y las buenas prácticas respecto al uso de las unidades USB. Las campañas de concientización sobre seguridad son una buena forma de mantener a la gente informada. Algunas empresas adoptan un enfoque más agresivo y directamente prohíben el uso de las unidades USB en el entorno corporativo, incluso rellenan con pegamento las ranuras de los puertos USB, o prohíben la conexión a dispositivos externos que no son de confianza. También es posible cifrar la información en las memorias USB para protegerla en caso de pérdida, aunque esta medida no protege a la empresa ante ataques externos.

Lamentablemente, los dispositivos USB seguirán siendo un riesgo para la seguridad. Las personas son propensas a perderlos y el éxito de los ataques de Ingeniería Social mediante unidades USB (como “olvidar” dispositivos en estacionamientos) significa que los ciberdelincuentes las seguirán considerando una manera fácil de acceder a las organizaciones.

Sin embargo, con una mayor capacitación sobre seguridad, más protección en las unidades USB y una creciente toma de conciencia respecto a las tácticas empleadas por los cibercriminales, podrás evitar ser otra víctima de estos ciberataques tan comunes y a la vez sorprendentes.