A finales de julio, los expertos en seguridad digital de SR Labs, Karsten Nohl y Jakob Lell, revelaron el descubrimiento de BadUSB, un defecto de diseño en el hardware de los dispositivos USB que permiten infectarlos con malware de manera indetectable. Los especialistas se negaron a publicar el código de su hallazgo por la imposibilidad de crear un parche, pero los investigadores independientes Adam Caudill y Brandon Wilson utilizaron ingeniería inversa para repetir los efectos de BadUSB y publicarlos en GitHub.
La semana pasada, durante la conferencia Derbycon en Louisville, Kentucky, Caudill explicó la razón para publicar el código que podría afectar a cientos de millones de usuarios:
Ambos investigadores concuerdan en que publicar el exploit es la única manera para presionar a los fabricantes de USB a cambiar el esquema de seguridad de estos dispositivos. Además, de esta forma, los consultores de seguridad informática podrán demostrar a sus clientes que las USB son casi imposibles de proteger en su estado actual.
BadUSB explota el firmware del USB para que este pueda hacerse pasar por un dispositivo que no sea revisado por un antivirus, tal como un teclado o un ratón. Una vez conectado a una computadora, el USB puede ejecutar tecleadas configuradas por el atacante, otorgándole el control del ordenador. “La gente ve [los USB] y los considera como nada más que un dispositivo de almacenamiento. No se dan cuenta de que tienen una computadora reprogramable en sus manos”, dijo Caudill.
En septiembre, la firma de seguridad G Data lanzó un programa que niega el acceso a un teclado cuando se conecta, dando oportunidad al usuario de verificar si el dispositivo que conectó a través del puerto USB es genuinamente un teclado o si se trata de una USB infectada. Por otra parte, esta es una solución incompleta y que puede ser burlada.
A pesar de todo, BadUSB no es lo peor que le puede pasar a las USB. Caudill y Wilson están trabajando en otro hack invisible que inyectaría malware a los archivos de una USB al momento de ser copiados a una computadora. A partir de ese momento, cualquier USB que se conecte a la computadora infectada contraería el mismo código malicioso, convirtiendo al exploit en una posible epidemia.
Dado el peligroso impacto que podría tener este último descubrimiento, los investigadores aún debaten el publicar el código, pues ambos están conscientes de que se encuentran en un dilema ético. “Hay un equilibrio difícil entre probar que esto es posible y hacer que sea fácil que las personas lo hagan. Queremos asegurarnos de que estamos en el lado correcto.”
A pesar de estos descubrimientos, siempre se ha recomendado como una práctica segura el no utilizar dispositivos USB cuya procedencia sea desconocida o poco confiable, y esta precaución no perderá vigencia.