Las estaciones de carga públicas se han vuelto muy comunes. Ahora es posible encontrar tomas disponibles en centros comerciales, aeropuertos, así como en restaurantes y cafés.
Sin embargo, un informe de la empresa de seguridad Kaspersky reveló que los delincuentes están utilizando estas tomas públicas para aplicar estafas de robo de datos y fotos.
+ Desfile militar en Libia revela suministro masivo de armamento ruso y genera críticas en Rusia
Los ataques, conocidos como ChoiceJacking, se realizan de tres maneras diferentes, según la empresa. La primera involucra un microordenador disfrazado de estación de carga.
Esta versión del fraude es la más compleja, ya que es efectiva tanto para dispositivos iOS como para teléfonos Android. Funciona así: cuando el teléfono inteligente se conecta, el ordenador emula un teclado USB y envía comandos para activar el Bluetooth del dispositivo.
Una vez activado, el ordenador se hace pasar por un teclado Bluetooth. Luego se conecta vía USB y se hace pasar por una computadora. El teléfono entonces le pregunta al usuario si permite que sus datos sean descargados y, mediante el teclado Bluetooth, el propio ordenador pulsa “Sí”.
El segundo método funciona solo con teléfonos Android y es un poco más simple, ya que no requiere conexión Bluetooth. En esta versión, el ordenador se hace pasar por un teclado USB y sobrecarga el teléfono con pulsaciones de teclas.
Mientras el teléfono está ocupado intentando procesar esas entradas sin sentido, el ordenador se desconecta y se reconecta, pero esta vez como computadora. Luego, nuevamente puede confirmar la transferencia de datos.
El tercer método, que también solo funciona en teléfonos Android, explota el Protocolo de Acceso Abierto de Android (AOAP), que está mal implementado en casi todos los teléfonos inteligentes.
De esta manera, el ordenador puede conectarse automáticamente y, cuando aparece la pantalla de confirmación para descargar datos, utiliza pulsaciones de teclas para enviar todos los comandos necesarios a través de AOAP.
En las pruebas de Kaspersky, los intentos de ataque fueron bloqueados por Apple y Google en iOS/iPadOS 18.4 y en Android 15. Esto se debe a que, en esos sistemas operativos, la transferencia de datos vía USB requiere autenticación biométrica y no depende solo del botón “Sí”.
Sin embargo, destacaron que la versión de Android por sí sola no impide los ataques. En los teléfonos Samsung con la capa One UI 7, la autenticación biométrica no es requerida, incluso ejecutando Android 15.
Antes de usar una toma pública, la empresa recomendó que los usuarios de teléfonos Android realicen una prueba: tomen un cable USB y conéctense a una computadora de confianza. Si el dispositivo no solicita autenticación biométrica para descargar datos, es mejor evitar las estaciones de carga públicas.
Además, se recomienda mantener la versión del sistema operativo siempre actualizada, priorizar el uso de su propio cargador o llevar consigo un cargador portátil en casos de emergencia.
Foto y video: ChatGPT-4. Este contenido fue creado con la ayuda de IA y revisado por el equipo editorial.
