Los ataques USB sí funcionan: ¿son conscientes los usuarios de estos riegos?

  • Opinión

Fernando Anaya, Proofpoint

Las unidades extraíbles son solo algunos de los muchos periféricos USB que se pueden utilizar para comprometer la seguridad de un ordenador.

Las unidades de almacenamiento extraíbles USB llevan circulando desde hace casi dos décadas, al igual que la inquietud entre los usuarios acerca de cómo los cibercriminales pueden echar mano de estos dispositivos tan pequeños y baratos para propagar malware y robar datos de redes protegidas. En un primer momento, podríamos pensar que un usuario medio sabe perfectamente que no debe coger una unidad USB de manos de un extraño y conectarla a su ordenador, pero la realidad es que no siempre ocurre así. A pesar de las advertencias de los profesionales de ciberseguridad informática, el instinto natural de la curiosidad humana, unida a otras emociones, hace que las personas sean vulnerables ante tácticas de ingeniería social empleadas en USBs.

Las unidades extraíbles son solo algunos de los muchos periféricos USB que se pueden utilizar para comprometer la seguridad de un ordenador, entre los que se incluyen desde teclados inalámbricos y webcams externas hasta dispositivos de bajo coste. Las conexiones USB son también comunes en los dispositivos de Internet de las Cosas (IoT). Incluso un cable de USB o un cargador de móvil, que podrían parecer igual de inofensivos que un cable eléctrico, pueden ser utilizados como armas. De hecho, investigadores de la Universidad Ben-Gurión del Néguev (Israel) han identificado recientemente hasta 29 formas en las que un atacante podría utilizar dispositivos USB para poner en peligro un sistema informático.

Combinación de tecnología e ingeniería social

Al margen de cuál sea la táctica empleada, un ataque USB necesita de una persona que inconscientemente conecte el dispositivo malicioso al ordenador. En este caso, los atacantes dejan los USB con malware cerca de sus objetivos, como por ejemplo en parkings o zonas de acceso común, y esperan a que el dispositivo despierte la curiosidad de algún individuo, ya que parece que alguien lo ha perdido, y acabe enchufándolo en su ordenador. Esta estrategia puede parecer algo arriesgada, pero esa combinación de tecnología e ingeniería social resulta muy efectiva. De hecho, según un estudio de 2016 acerca de este tipo de ataques USB, el porcentaje estimado de éxito con esta práctica se sitúa entre el 45% y el 98%.

Asimismo, en un experimento controlado, se repartieron unas 300 unidades USB por todo el campus de la Universidad de Illinois en Urbana-Champaign. Estos dispositivos contenían archivos .html que, si se abrían, generaban una serie de notificaciones. Los resultados fueron demoledores: se llevaron el 98% de las memorias USB y en un 45% de ellos se abrió uno o varios documentos, es decir, casi la mitad de estos ataques simulados se completó con éxito. Cabe la posibilidad de que los usuarios conectaran el resto de las unidades, pero finalmente no abrieran ningún archivo, aunque esto supondría igualmente un grave riesgo de seguridad. De todo esto, podríamos realizar el siguiente ejercicio: si un atacante dejara 10 USBs en tu empresa, ¿cuántas personas creen que los conectarían a sus ordenadores? Es más, de esos usuarios, ¿se atreverían cuatro o cinco a abrir archivos tal y como sugiere el estudio?

Aprovechándose del altruismo y la curiosidad de las personas

Es fácil suponer que los estudiantes y empleados que conectaron los dispositivos USB no tenían grandes conocimientos sobre ciberamenazas, pero ese no es el caso. En un análisis posterior de la situación, las respuestas sobre seguridad de aquellos que conectaron el USB no distaban mucho de las de la población general, por lo que los investigadores concluyeron que los ataques USB podría resultar efectivos en la mayoría de los casos, y que el usuario medio no ve ningún peligro en conectar una unidad de origen desconocido a su ordenador.

De acuerdo a este mismo estudio, en un principio, las intenciones de los individuos al coger los dispositivos eran altruistas, ya que pretendían devolvérselos a las personas que los habrían perdido o dejado olvidados. Pero, una vez que conectaban los USB, alrededor de la mitad de los usuarios sentía curiosidad y abría los documentos antes de intentar encontrar al propietario. Esto sucede porque los atacantes emplean como táctica de ingeniería social el utilizar nombres atrayentes para los archivos maliciosos.

Estos resultados ponen de manifiesto frente a la comunidad de ciberseguridad que los ataques menos técnicos siguen siendo una amenaza real para los usuarios, y que todavía tenemos que aprender a protegernos con éxito de ellos. Aun así, se necesita comprender mejor las dinámicas en ingeniería social para poder desarrollar mejores técnicas de defensa e informar de manera efectiva a los usuarios sobre estos riesgos.

Proactividad ante posibles ciberamenazas

Entonces, ¿qué se puede hacer para reducir el riesgo de ataques USB en organizaciones? En primer lugar, sería necesario establecer un enfoque proactivo ante posibles riesgos: evaluar cuán vulnerables son los usuarios a estos ataques, hacerles conscientes de que el uso de dispositivos maliciosos puede causar infecciones en el sistema o pérdida de datos, y enseñarles a evitar estas amenazas.

Asimismo, realizar simulaciones de ataques USB pueden ser una excelente práctica para conseguir que los empleados sean más conscientes de los riesgos y quieran formarse sobre cómo proteger los datos frente a posibles ataques de ingeniería social. Dada la popularidad de estos dispositivos, gracias a la expansión de la conectividad y el IoT, es imprescindible para la ciberseguridad de organizaciones de todo tipo reducir significativamente los riesgos asociados a los USB.  

Fernando Anaya, Responsable de desarrollo de negocio de Proofpoint para España y Portugal