A continuación, observá bien al cable de carga de tu iPhone: da igual que sea la versión USB-C del nuevo iPhone 15 o uno con conexión Lightning tradicional. Un accesorio tan simple que nunca te podrías imaginar la peligrosa amenaza que puede esconderse dentro de esa elegante carcasa blanca. Por desgracia, si tenés la mala suerte de encontrarte con un cable armado, simplemente no hay forma de saberlo.
Apodado el "cable USB más peligroso del mundo", el cable OMG fue actualizado una vez más. Por menos de 200 dólares online, cualquiera puede adquirir un dispositivo más parecido a un sofisticado lanzamiento de Q-Branch que a una compra de PayPal, que habría estado restringida a las agencias de inteligencia y echaría para atrás a cualquier posible comprador capaz de adquirir muchos miles de dólares.
¿Qué pasa con el famoso cable?
Este cable de aspecto inocente puede capturar pulsaciones de teclas, robar credenciales, exfiltrar datos e incluso plantar malware, y no se necesita nada más que el propio cable. Un atacante puede entrar directamente en el diminuto dispositivo desde cualquier lugar, y si estás sufriendo un ataque activo, es casi seguro que no te vas a dar cuenta.
"Los actores del estado-nación utilizan una variedad de técnicas en ataques altamente dirigidos para espiar a sus presas y estos cables actúan como una herramienta más en su caja de herramientas", explica Jake Moore de ESET. "Si aquellos en posiciones en las que podrían ser un objetivo de alto perfil están en peligro, sería recomendable que nunca utilicen ningún cable o dispositivo que no esté autorizado".
No es el tipo de dispositivo que esperarías encontrar a la venta online... pero Acá ahí ves. Lanzado por primera vez en 2019 con gran aclamación, el nuevo OMG Elite ahora entregó el tipo de avance sobre el original que estamos más acostumbrados a ver de los fabricantes de PC y teléfonos inteligentes hiperactivos que estos cables están destinados a comprometer, en lugar de la cadena de suministro de sombrero blanco más pequeña y especializada.
Los cables de OMG ocultan procesamiento, carga útil y un punto de acceso WiFi en las mismas dimensiones exactas de la carcasa del cable que los originales de Apple u otros fabricantes. "En efecto", dijo Davey Winder, de Forbes, sobre el lanzamiento original de OMG, "se trata de una minicomputadora metida en el extremo de un cable: es increíble".
Ahora, los últimos lanzamientos, que aún no se hicieron públicos, llevan la capacidad mucho, mucho más lejos. "Nuestra nueva serie Elite desbloquea algunas cosas divertidas", me dijo esta semana su inventor, Mike Grover. "Pusimos el implante OMG en múltiples factores de forma desde la última vez que hablamos. Cables USB-A, cables USB-C, adaptadores USB-A a -C, bloqueadores de datos USB (sí, hacer un bloqueador de datos malicioso :D)".
Los cables, que se pueden controlar de forma remota a través de un punto de acceso WiFi independiente, siempre permitieron el registro de teclas para capturar credenciales y la inyección de pulsaciones de teclas para comprometer los dispositivos y las cuentas a las que pueden acceder. Es la nueva versión la que acaba de añadir la exfiltración de datos a la mezcla.
"Se trata de un nuevo canal bidireccional encubierto entre el host de destino y el cable OMG", explicó Grover. El cable envía este túnel a través de su WiFi: ahora es posible filtrar datos e incluso utilizar un shell remoto completo en el host de destino sin que se vea ninguna unidad externa ni interfaz de red, porque el cable OMG funciona como un simple dispositivo HID (como todos los teclados).
A pesar de la ofensiva hoja de especificaciones cibernéticas, los cables están diseñados en realidad para los buenos: investigadores y equipos rojos que realizan pruebas de penetración en las defensas de las empresas, ya sea colocando los dispositivos ellos mismos o dejando caer unos cuantos cables al azar en las instalaciones de una empresa o en sus alrededores para ver si los empleados pican el anzuelo.
Como tal, hay salvaguardas integradas. Geofencing permite a un equipo rojo restringir las capacidades de un cable a una ubicación específica: si se saca fuera de las instalaciones, no atacá o incluso puede autodestruirse, aunque el lado negativo es que los cables se autoarman cuando están en el blanco. Grover también configuró sus cables para que no se sincronicen ni se carguen cuando están armados, con el fin de reducir la ventana de ataque no detectada cuando se conectan a un smartphone.
¿Para qué se diseñaron estos cables?
Los cables OMG se diseñaron originalmente para atacar PC y Mac cuando se conectaba el cable de carga de un smartphone. Pero "la gente realmente quería atacar teléfonos", me dijo Grover. "Nuestros primeros cables no eran capaces de esto, pero nuestros cables de tipo C introdujeron esto como una característica no principal para permitir a los investigadores y educadores, al tiempo que reduce la utilidad para las personas que tratan de desplegar spouseware."
Pero está claro que los dispositivos pueden caer en las manos equivocadas: son fáciles de conseguir y muestran un "arte de lo posible" técnico que no se limita a este nivel de apertura.
"Da la sensación de que éste es el tipo de USB que podríamos conseguir gratis en una conferencia", explicó Kate O'Flaherty de Forbes, "o en un hotel donde se celebre una conferencia".
Si los actores de amenazas "tienen la capacidad de instalar malware en los cables de carga USB", afirma Moore, "entonces pueden comprometer los dispositivos electrónicos y sus datos durante la carga."
Grover me dijo que ciertas características fueron "rotas" por varias actualizaciones del sistema operativo desde que se lanzó por primera vez, "pero hasta ahora fuimos capaces de trabajar alrededor de esos también."
El riesgo más conocido es el llamado juice jacking, por supuesto, y las alertas que emanan regularmente de varias agencias de aplicación de la ley. A principios de este año, el FBI advirtió de que "los delincuentes descubrieron la forma de utilizar los puertos USB públicos para introducir malware y software de vigilancia en los dispositivos".
Mientras tanto, según la FCC, "los expertos advierten de que los malhechores pueden cargar malware en las estaciones de carga USB públicas para acceder maliciosamente a los dispositivos electrónicos mientras se cargan. El malware instalado a través de un puerto USB dañado puede bloquear un dispositivo o exportar datos personales y contraseñas... Los delincuentes pueden entonces utilizar esa información para acceder a cuentas online o venderla a otros malos actores."
A pesar de estas advertencias, "aunque se demostró que el concepto de juice jacking es técnicamente factible", afirma Moore, "el riesgo que supone para el público en general es altamente improbable."
El "juice jacking" implica que el enchufe en el que conectás tu cable de carga está comprometido, enmascarando una computadora que puede acceder a tu dispositivo a través del cable y luego planta o extrae datos. Acá es donde entran en juego las implicaciones furtivas de un cable de ataque. Enchufás el cable en algo que es tuyo y de lo que no sospechas, no en un enchufe o adaptador de terceros. No ves venir el ataque.
El concepto de cables de ataque maliciosos no es nuevo. Las agencias de inteligencia empezaron a desarrollar y utilizar este tipo de dispositivos desde hace años. Pero este nivel de capacidad no se había dado antes en el mercado abierto.
Ahora, la última versión de Grover amplía el alcance de este tipo de ataques, añadiendo controles C2 basados en servidor a sus capacidades autónomas: "el cable se conectará de forma rutinaria a un servidor para recibir instrucciones; puedes controlarlo desde cualquier lugar". Todo recuerda al malware plantado, que infecta un host y luego recibe instrucciones externas para dar forma a su ataque. "Puedes incluso controlar toda una flota de cables desde un servidor, y poner en cola instrucciones de control si el cable está desconectado".
Quizá el mayor avance se encuentre en las velocidades disponibles para un compromiso
"Para las cargas útiles", me dijo Grover, "estamos pasando de 120 contraseñas por segundo a 890 contraseñas por segundo, por lo que las cargas útiles pequeñas se ejecutarán en menos de un segundo. En el caso de cargas útiles enormes, se pueden ahorrar minutos u horas de tiempo. Y en lugar de 8.000 pulsaciones por carga útil, ahora soportamos 32.000. Y con el próximo firmware, superaremos el millón de pulsaciones. Las cargas útiles enormes no son una necesidad común para los ataques tradicionales de tipo hot-plug. Pero para un implante que permanece conectado a un ordenador y puede manejarse a distancia a cualquier hora del día, estas cargas útiles más grandes se convierten de repente en mucho más útiles."
Se trata de un avance importante, que significa que un cable plantado dentro de una empresa puede proporcionar una vía de ataque a más largo plazo utilizando un accesorio aparentemente estándar. "Después de la carga útil inicial, no hay nada visible en pantalla y, sin embargo, el atacante puede controlar el ordenador de forma remota o navegar por el sistema de archivos".
Acá el sigilo es obviamente crítico. "El implante dentro del cable permanece invisible para el host objetivo hasta que se lanza una carga útil". me dijo Grover. Y la propia carga útil se puede configurar con diferentes identidades y comportamientos. Escuché de múltiples equipos rojos que ejecutaron con éxito operaciones a largo plazo porque ejecutaban una carga útil, esperaban unas semanas, ejecutaban una nueva carga útil, repetían.
Acá es también donde realmente importan esos aumentos de velocidad de E/S. "La velocidad reduce el tiempo que las cargas útiles permanecen visibles en pantalla", explica Grover. "La capacidad permite cargas útiles mucho más avanzadas. Por ejemplo, durante un ejercicio de red ream, se puede incrustar el malware en la propia carga útil. En lugar de tener que descargar el malware de Internet".
Si hay que preocuparse por los cables en casa o en el trabajo, casi desde luego que no. Pero yo me lo pensaría dos veces por muchas razones antes de enchufar cables regalados y, más obviamente, memorias USB en cualquier dispositivo de mi propiedad. Y es bueno ser consciente de la amenaza, sobre todo si se viaja por negocios, se participa en delegaciones comerciales, se trabaja en la abogacía o en la administración pública, o se disfruta de la condición de celebridad.
Yo también evitaría los cómodos puertos USB de carga directa de los hoteles en el extranjero: no cargan muy rápido y no tienes ni idea de lo que hay detrás de los enchufes. Utilizar un adaptador de corriente tiene más sentido. Si necesitas utilizar un enchufe directo, consigue un bloqueador de datos, pero no uno de OMG.
Como herramienta para los equipos rojos encargados de poner a prueba las defensas de una organización, Grover parece encantado con el interés y los comentarios positivos que recibió. Se convirtió, me dijo, en un kit estándar para innumerables profesionales. Si un adversario se sentara en tu sistema y empezara a controlarlo, ¿cómo detectarías su comportamiento malicioso? Ésa es una de las grandes ventajas del OMG Cable... Obliga a la gente a pensar en detectar las acciones de un adversario.
Pero Grover también es muy consciente de la zona gris que supone proporcionar un kit de equipo rojo que pueda utilizarse con fines nefastos. Por eso", me dice, "no precargamos nuestros dispositivos con cargas útiles [maliciosas]". Una cosa es la facilidad de uso para los profesionales y otra vender un arma precargada".
*Con información de Forbes US