1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. ¿Por qué' Juice Jacking ' Vuelve a Aparecer de repente en las noticias?

¿Por qué' Juice Jacking ' Vuelve a Aparecer de repente en las noticias?

KrebsOnSecurity recibió un buen aumento en el tráfico esta semana gracias a los tweets del Oficina Federal de Investigaciones (FBI) y el Comisión Federal de Comunicaciones (FCC) acerca de "jacking de jugo, "un término acuñado por primera vez aquí en 2011 para describir una amenaza potencial de robo de datos cuando uno conecta su dispositivo móvil a un quiosco de carga público. No está claro qué pudo haber provocado las alertas, pero la buena noticia es que hay algunas cosas bastante básicas que puede hacer para evitar tener que preocuparse por el robo de jugo.

El 6 de abril de 2023, la oficina del FBI en Denver emitió una advertencia sobre el robo de jugo tweet.

"Evite usar estaciones de carga gratuitas en aeropuertos, hoteles o centros comerciales", advirtió la oficina del FBI en Denver. "Los malos actores han descubierto formas de usar puertos USB públicos para introducir malware y software de monitoreo en los dispositivos. Lleve su propio cargador y cable USB y use un tomacorriente en su lugar.”

Cinco días después, el Comisión Federal de Comunicaciones (FCC) emitió una advertencia similar. "Piénselo dos veces antes de usar estaciones de carga públicas", dice la FCC tuiteó. "Los piratas informáticos podrían estar esperando para obtener acceso a su información personal mediante la instalación de malware y software de monitoreo en sus dispositivos. Esta estafa se conoce como juice jacking.”

El tweet de la FCC también proporcionó un enlace a la página de concientización de la agencia sobre el juice jacking, que se publicó originalmente antes de las vacaciones de Acción de Gracias en 2019, pero se actualizó en 2021 y luego nuevamente poco después de que los medios de comunicación recogieran el tweet del FBI. Las alertas fueron cubiertas de manera tan amplia y sin aliento en la prensa que una mención de juice jacking incluso llegó a la edición de esta semana Espectáculo Nocturno con James Corden.

El término juice jacking se coló en la paranoia colectiva de los geeks de los gadgets en el verano de 2011, gracias al titular de una historia aquí acerca de los investigadores de la DEFCON convención de hackers en Las Vegas que instaló una estación de carga móvil diseñada para educar a los incautos sobre la realidad de que muchos dispositivos móviles estaban configurados para conectarse a una computadora y sincronizar datos de forma predeterminada de inmediato.

Desde entonces, Apple, Google y otros fabricantes de dispositivos móviles han cambiado la forma en que funciona su hardware y software para que sus dispositivos ya no sincronicen datos automáticamente cuando uno los conecta a una computadora con un cable de carga USB. En cambio, a los usuarios se les presenta un mensaje que les pregunta si desean confiar en una computadora conectada antes de que se pueda realizar cualquier transferencia de datos.

Por otro lado, la tecnología necesaria para llevar a cabo un ataque furtivo de extracción de jugo se ha vuelto mucho más miniaturizada, accesible y barata. Y ahora hay varios productos que cualquiera puede comprar que están hechos a medida para permitir ataques de extracción de jugo.

Probablemente el ejemplo más conocido es el cable OMG, un dispositivo de piratería de $180 hecho para probadores de penetración profesionales que se parece más o menos a un cable de carga USB genérico o de Apple. Pero dentro del cable OMG hay un pequeño chip de memoria y un transmisor Wi-Fi que crea un punto de acceso Wi-Fi, al que el atacante puede conectarse de forma remota mediante una aplicación de teléfono inteligente y ejecutar comandos en el dispositivo.

El cable OMG de OM 180"."Imagen: hak5.org.

Brian Markus es cofundador de Seguridad de Aries, y uno de los investigadores que originalmente mostró la amenaza del robo de jugo en la DEFCON 2011. Markus dijo que no tiene conocimiento de ninguna cuenta pública de quioscos de extracción de jugos que se encuentren en la naturaleza, y dijo que no está seguro de qué provocó la reciente alerta del FBI.

Pero Markus dijo que el robo de jugo sigue siendo un riesgo porque es mucho más fácil y barato en estos días para los posibles atacantes obtener y construir el equipo necesario.

"Desde entonces, la tecnología y los componentes se han vuelto mucho más pequeños y muy fáciles de construir, lo que pone esto en manos de actores de amenazas menos sofisticados", dijo Markus. "Además, ahora puedes comprar todas estas cosas sin receta. Creo que el riesgo es posiblemente mayor ahora que hace una década, porque una población mucho mayor de personas ahora puede lograrlo fácilmente.”

¿Qué tan en serio deberíamos tomar la reciente advertencia del FBI? Una investigación del sitio que destruye mitos Snopes sugiere que el tweet del FBI fue solo un anuncio de servicio público basado en un aviso fechado. Snopes se comunicó con el FBI y la FCC para solicitar datos sobre cuán extendida es la amenaza del robo de jugos en 2023.

"El FBI respondió que su tweet era una 'publicación estándar tipo PSA' que surgió de la advertencia de la FCC", Snopes informar. Un portavoz de la FCC le dijo a Snopes que la comisión quería asegurarse de que su aviso sobre "extracción de jugos", emitido por primera vez en 2019 y luego actualizado en 2021, estuviera actualizado para garantizar que "los consumidores tengan la información más actualizada". El funcionario, que solicitó el anonimato, agregó que no habían visto ningún aumento en los casos de quejas de los consumidores sobre el robo de jugos.”

¿Qué puede hacer para evitar el robo de jugo? Trae tu propio equipo. Una regla general en seguridad es que si un adversario tiene acceso físico a su dispositivo, ya no puede confiar en la seguridad o integridad de ese dispositivo. Esto también se aplica a las cosas que se conectan a sus dispositivos.

Jacking de jugo no es posible si un dispositivo se carga a través de un adaptador de CA de confianza, un dispositivo de respaldo de batería o un cable USB con solo cables de alimentación y sin cables de datos presentes. Si no tiene estas cosas en un aprieto y aún necesita usar un quiosco de carga público o una computadora aleatoria, al menos apague su dispositivo antes de enchufarlo.



>>Más