INSEGURIDAD EN USB, PENDRIVE, MEMORIA FLASH
La unidad
USB (Universal Serial Bus, en inglés) es un dispositivo de almacenamiento que
se utiliza para guardar información una memoria tipo flash, una memoria no
volátil y reescribible. Se conoce también, entre otros nombres, como lápiz de
memoria, memoria externa o lápiz USB, y en inglés se le llama también
"pendrive".
Pero como
toda moneda tiene dos caras, estos pequeños artilugios, además de ser altamente
útiles, también son potenciales portadores del llamado "malware" o
software infeccioso; aquel que puede ser usado para interrumpir el
funcionamiento del ordenador, obtener información sensible, o tener acceso a
los sistemas informáticos privados.
Y la
vulnerabilidad va más allá, según un estudio que acaba de ver la luz. "Un
USB puede contener malware incluso cuando está formateado", acaban de
concluir Karsten Nohl y Jakob Lell, dos expertos en seguridad cibernética con
base en Berlín. Por tanto, incluso si los datos almacenados en él han sido
borrados.
Los dispositivos USB son potenciales portadores de software
infeccioso, una herramienta en manos de hackers.
La
resolución es tajante. Según el dúo de investigadores, dicha tecnología es
"críticamente deficiente" y, por lo tanto, "no hay forma
práctica de defenderse contra esa vulnerabilidad".
Sabotaje internacional
Los USBs
se han empleado en casos de sabotaje internacional.
El
ejemplo más notable es el de Irán. Este país mantuvo sus instalaciones de
enriquecimiento de uranio aisladas por espacio de aire, pero en 2010 el virus
Stuxnet fue capaz de paralizar las centrifugadoras principales después de unos
trabajadores distraídos conectaran dispositivos USB infectados que habían sido
desechados por espías. El investigador que identificó el virus, Ralph Langer,
especuló publicamente sobre el origen israelí del software infectado, en
septiembre de ese año.
Menos de
un año después, en febrero de 2011, en una conferencia ofrecida para TED Talk
dijo: "Mi opinión es que el Mossad estuvo involucrado, pero la fuerza
líder de la operación no fue Israel. Esa fuerza líder es la superpotencia
cibernética, la única que existe: Estados Unidos".
El experto en seguridad cibernética, Karsten Nohl (en la imagen) y
su compañero Jakob Lell acaban de concluir que un USB puede contener
"malware" incluso si está formateado.
Pero esa
amenaza también afecta a otros usuarios, los de a pie. Quien no lo sufrió en carne
propia conoce a alguien que infectó su computadora con un virus al usar un
lápiz de memoria con software "malicioso".
En una
demostración llevada a cabo las pasada semana en la conferencia de hackers
Black Hat, de Las Vegas (EE.UU.), Nohl y Lell mostraron lo que puede ocurrir
cuando un USB con software infectado se inserta en una computadora.
Amenaza del día a día
El código
"maligno" implantado en la máquina hizo a ésta pensar que se le había
enchufado un teclado. En pocos minutos el teclado fantasma comenzó a escribir
comandos y ordenó al ordenador descargar un programa de internet.
Los
expertos en seguridad cibernética también hicieron una demostración.
Nohl
conectó un teléfono inteligente a una computadora, para que éste se cargara. Lo
hizo por medio de una conexión USB. Con ello, consiguió engañar a la máquina y
le hizo pensar que lo que le fue insertado era una tarjeta en red.
Así,
cuando el usuario accedió a internet, su navegación fue "secretamente
secuestrada", explicó el investigador a Dave Lee, reportero de tecnología
de BBC.
Y como
consecuencia, pudo crear una copia falsa de la página web de PayPal, una
compañía de comercio electrónico internacional que permite pagar y transferir
dinero a través de internet. Gracias a ello, robó las claves de acceso del
usuario a ese sistema, dejando así patente la facilidad con la que podría
robarle dinero de su cuenta en PayPal y hacer trasferencias en su nombre.
"Básicamente,
no se puede confiar en una computadora una vez que se haya conectado a ella una
memoria USB", concluyó Nohl.
Según investigadores, el único consejo para el
usuario es que utilice los USB con cuidado.
Consejos para aumentar la
seguridad
Mike
McLaughlin, un investigador de seguridad de First Base Technologies, dijo que
la amenaza debe ser tomada en serio. "Y es que el USB es ubicuo en todos
los dispositivos", señaló.
"Cualquier
empresa siempre debe tener políticas establecidas respecto a los dispositivos
USB y unidades USB. Y si fuera necesario, deberían dejar de usarlos", cree
McLaughlin.
Para protegerse, es imprescindible no tener en memorias externas
claves de tarjetas de crédito e información similar.
Amichai
Shulman, experto en protección de datos de Imperva, está de acuerdo. Sin
embargo, explicó que el usuario común poco puede hacer ante esa vulnerabilidad.
"Uno
no puede andar pensando que todos los dispositivos USB, cada memoria externa
que se compra, contienen software infeccioso", dijo por teléfono desde
Israel.
Y
aconseja lo obvio: "Si encuentra un USB en la calle, no lo inserte en su
computadora".
Rajib
Singha, bloguero experto en seguridad tecnológica, matiza esa sugerencia:
"Incluso si va a usar un lápiz de memoria de un amigo, verifique antes que
no tiene un virus".
Además,
amplía la lista de consejos para hacer un uso lo más seguro posible de las
unidades USB en el blog de Quick Heal Technologies.
Alguno es
tan evidente como el de no usar un USB encontrado en la calle: "No
almacene en esos dispositivos información como el número de la seguridad
social, la clave de la tarjeta de crédito ni otros datos similares".
Y termina
con otra recomendación sencilla: "Nunca utilice la misma memoria USB para el
trabajo y en casa", apunta Singha.
En manos de fabricantes
El grupo
responsable del estándar USB, USB Working Party, se negó a comentar sobre la
seriedad de la amenaza vertida por los investigadores.
Pero en
términos generales, dijo: "Las especificaciones de USB son compatibles con
capacidades adicionales para la seguridad, pero los fabricantes de los equipos
originales deben decidir implementar o no estas capacidades en sus
productos".
Según Karsten Nohl y Jakob Lell, no hay forma de
defenderse ante la vulnerabilidad de los dispositivos USB.
La
primera consecuencia de hacer que estos dispositivos fueran más seguros sería,
según USB Working Party, el aumento del precio de los mismos. Y frente a ello,
quien tiene la última palabra es el usuario: "Los consumidores decidirán
en el día a día cuánto quieren pagar por ese beneficio (de la seguridad
añadida)".
"En
el caso de que exista una demanda de mayor seguridad, esperamos que los
fabricantes le den respuesta", añadió.
Mientras
eso ocurra, los expertos en seguridad lo tienen claro: "El único consejo
posible es ser muy cuidadosos al conectar dispositivos USB a nuestras
máquinas".
Por lo
tanto, "hay que cambiar costumbres", dijeron.
