06 Oct El problema de seguridad que amenaza la supervivencia del USB
Las memorias USB son uno de los sistemas más simples y utilizados para pasar información a un PC o dispositivo electrónico. Todos las usamos. Desde para transferir un archivo a nuestro ordenador o tableta, hasta para ver una película en el televisor. Pero a estos herederos de los disquetes les ha surgido un problema de seguridad que amenaza ahora su supervivencia.
El pasado mes de julio los investigadores Karsten Nohl y Jakob Lell anunciaron un fallo de seguridad crítico en esta tecnología, al que llamaron BadUSB. Este virus que afecta a cualquier memoria o dispositivo de almacenamiento USB permite al atacante, según sus autores, “tomar el control sobre el ordenador de un tercero, eliminar y mover sus archivos o redireccionar el tráfico online”.
Lo novedoso es que a partir de ahora un USB puede contener este tipo de malware incluso cuando haya sido formateado. La conclusión de Nohl y Lell es tajante en este sentido: esta tecnología es “críticamente deficiente” y, por lo tanto, “no hay forma de defenderse contra esta vulnerabilidad”.
“El USB por un lado tiene la memoria y por otro un firmware. Si se consigue vulnerar esta capa ya puedes formatearlo las veces que quieras que el virus seguirá dentro”, ha explicado a Teknautas Fernando de la Cuadra, director de Educación de Eset España.
La única buena noticia de todo esto es que los autores no publicaron esta vulnerabilidad. Por lo que la industria tenía tiempo para prepararse para un presunto futuro sin USB.
Pues bien. El código ya está al alcance de todos.
Un código malicioso al alcance de todo el mundo
En una charla conjunta durante el DerbyCon que tuvo lugar esta semana, los informáticos Adam Caudill y Brandon Wilson consiguieron replicar el funcionamiento de este malware y revelaron el código, además de publicarlo en GitHub.
Pero Caudill y Wilson fueron un poco más allá al demostrar otras aplicaciones de BadUSB al margen de las ya conocidas en los USB. Ambos justificaron su decisión explicando que “si das con una vulnerabilidad grave, debes ofrecer a la comunidad la posibilidad de defenderse contra ella”.
Entre las posibles soluciones que se han planteado se encuentra la de hacer una lista blanca de dispositivos permitidos, o bloquear aquellos modelos más vulnerables. Otra solución pasaría por crear una nueva capa de seguridad alrededor del firmware, pero eso significaría una actualización completa del estándar USB. Lo que supondría años de inseguridad.
“Volver a definir un estándar USB es extremadamente complejo. Sólo de pensarlo da miedo”, ha añadido Fernando de la Cuadra, que tampoco descarta un futuro sin esta tecnología. “No me imagino un mundo sin USB, pero tampoco me lo imaginaba sin disquetes cuando estos eran los principales propagadores de virus. Así que, ¿por qué no?”.
Según comentaron los informáticos creadores de BudUSB a Josep Albors, director de Comunicación y Laboratorio de Eset, “estas medidas son difíciles de implementar por lo que lo mas sencillo ahora mismo pasa por desactivar las actualizaciones de firmware en aquellos dispositivos que lo soporten. De esta forma se pierden posibles funcionalidades adicionales pero se evita que se sobreescriba con un firmware malicioso”.
“Tampoco hay que ser alarmistas. Esto no significa que todos los USB estén infectados y que debamos tirarlos a la basura. Ni tampoco que pueda surgir una epidemia de forma inminente”, ha concluido Albors.
Mientras tanto, cada vez que un usuario conecta una unidad USB a su ordenador o dispositivo electrónico una ventana sigue abriéndose de par en par al malware. Quién sabe por cuánto tiempo…
Fuente: El Confidencial
