La vulnerabilidad BadUSB (esa misma que dicen que es imposible de solucionar y lleva suelta ya meses) es de sobra conocida a estas alturas. Pero una cosa es saber de su existencia, y otra muy diferente es ver un ataque similar en acción. Este vídeo muestra lo inquietantemente fácil que es utilizar un puerto USB como vector de ataque para un hack.

El hacker Samy Kamkar es el autor de una peque√Īa pieza de hardware llamada USBDriveBy que sirve para tomar el control de cualquier equipo OSX siempre y cuando no est√© protegido por contrase√Īa. El dispositivo es una sencilla placa controladora unida a un puerto USB.

Advertisement

Basta conectar la USBDribeBy a un equipo para que se identifique como un teclado y un ratón convencionales, abra la aplicación Terminal, instale una puerta trasera en Chrome, configure apropiadamente los ajustes de red, recoja sus cosas y deje todo como estaba. El proceso es completamente automático y apenas dura un minuto en el que el ordenador, eso sí, parece poseído por el mismísimo Satán.

El resultado es que todo el tr√°fico del equipo se redirige al ordenador del asaltante, que puede espiar lo que quiera o tomar el control del equipo hackeado en el momento en el que lo considere necesario.

Advertisement

Algunos de los cambios en la configuración se resisten a realizarse solo desde un teclado, pero Kamkar ha encontrado maneras de sortear esos obstáculos mediante movimientos ciegos de ratón. Aunque este hacker ha realizado la prueba en un Mac, asegura que es perfectamente aplicable a Windows y Linux.

Evidentemente, el hack no es tan temible si protegemos nuestro equipo mediante una contrase√Īa de entrada, pero los ciberdelincuentes no suelen ser amistosos hackers con un USB al cuello que muestran sus progresos en YouTube. Si Samy ha logrado hacer esto, seguramente otros hayan dado con formas peores de aprovechar el USB. La propia BadUSB es m√°s peligrosa por la cantidad de malware que permite inocular. [Samy Kamkar v√≠a Hacker News]

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)