Seguridad digital Su apariencia inocua y sus nombres entrañables enmascaran su verdadero poder. Estos dispositivos están diseñados para ayudar a identificar y prevenir problemas de seguridad, pero ¿qué pasa si caen en las manos equivocadas? 06 mayo 2024 • , 5 min. leer ¿Se pueden utilizar objetos aparentemente inofensivos que simulan la apariencia de memorias USB normales, cables de carga o juguetes para niños como herramientas para ayudar e incitar a un hackeo real? ¿O es sólo cosa de programas de televisión? Hay un montón de dispositivos geek populares con nombres entrañables que brindan una funcionalidad valiosa tanto para los piratas informáticos aficionados como para los profesionales de la seguridad. Sin embargo, muchos de estos equipos pueden compararse con espadas de doble filo: pueden ayudar tanto a probar la seguridad de una organización como a vulnerar sus defensas. Algunos de ellos tienen un impacto sorprendentemente fuerte y podrían transformarse de herramientas útiles a armas potentes si son utilizados indebidamente por personas con intenciones maliciosas. Esto podría llegar a ser motivo de preocupación, incluso porque personalmente he sido testigo de cómo numerosas empresas luchan por implementar protecciones adecuadas debido a la falta de conciencia sobre los riesgos potenciales. Un ejemplo de ello es el uso de dispositivos externos desconocidos en sistemas corporativos, especialmente aquellos que a menudo no despiertan sospechas, como las unidades USB. Lo que nos lleva al primer par de dispositivos que, en última instancia, pueden desencadenar dolores de cabeza en materia de seguridad: Ducky y Bunny. A pesar de parecerse a unidades flash comunes y corrientes, USB Rubber Ducky y Bash Bunny de Hak5 son, de hecho, plataformas de ataque USB que vienen con algunos capacidades serias. Diseñados originalmente para ayudar a los evaluadores de penetración y otros profesionales de la seguridad a automatizar sus tareas, estos dispositivos plug-and-play pueden causar estragos en cuestión de minutos. El Rubber Ducky, por ejemplo, puede imitar las acciones de un dispositivo de interfaz humana (HID), como un teclado o un mouse, y engañar al sistema para que acepte sus entradas como confiables. Esto significa que se puede utilizar para ejecutar comandos maliciosos con el fin de recopilar credenciales de inicio de sesión, información financiera, datos patentados de la empresa u otra información confidencial. Figura 1. Rubber Ducky (fuente: Hak5) Al hacerse pasar por un teclado, puede indicarle a la computadora que visite un sitio web cargado de malware o que ejecute cargas útiles maliciosas, como si lo hiciera un hacker sentado en el escritorio. Todo lo que se necesita es precargar el patito con una secuencia de pulsaciones de teclas que realizan acciones específicas en el sistema. Todas las funcionalidades de secuencias de comandos disponibles en Rubber Ducky también se pueden encontrar en Bash Bunny. Por lo tanto, los riesgos potenciales asociados con Bash Bunny no son diferentes de los que involucran a Rubber Ducky e incluyen la instalación de software malicioso y el robo de información. Dicho esto, Bash Bunny aún sube aún más la apuesta. Conserva la capacidad del Rubber Ducky de hacerse pasar por un dispositivo HID confiable, pero se basa en ella agregando características como escalada de privilegios administrativos y exfiltración directa de datos mediante almacenamiento en tarjeta MicroSD. También está optimizado para un mejor rendimiento. Para colmo, incluso las unidades de miniaturas comunes pueden ser utilizadas con fines maliciosos convirtiéndolas en dispositivos USB tipo Rubber Ducky y Bash Bunny. Figura 2. Bash Bunny (fuente: Hak5) Flipper Zero Flipper Zero es una especie de navaja suiza del hacking que ha llamado la atención gracias a su amplia gama de características y tecnologías empaquetadas en un formato compacto. El dispositivo del tamaño de la palma de la mano se presta bien para bromas, piratería informática por parte de aficionados y algunas pruebas de penetración, especialmente cuando es necesario probar la seguridad de dispositivos inalámbricos y sistemas de control de acceso. También hay una gran cantidad de firmware gratuito de terceros que puede mejorar aún más su funcionalidad. Por otro lado, la capacidad de Flipper Zero para interactuar con varios protocolos y dispositivos de comunicación inalámbrica puede permitir a los atacantes obtener acceso no autorizado a áreas restringidas o sistemas sensibles. Al combinar funcionalidades como emulación RFID, capacidades NFC, comunicación por infrarrojos (IR), Bluetooth y control de entrada/salida de propósito general (GPIO), entre otras, permite a las personas interactuar y manipular varios tipos de sistemas electrónicos. Figura 3. Flipper Zero (fuente) Por ejemplo, dado que el dispositivo también puede transmitir y recibir señales de infrarrojos, podría usarse para controlar dispositivos de infrarrojos como televisores o aires acondicionados. Lo que es más preocupante, el dispositivo se puede utilizar para clonar tarjetas o etiquetas de acceso habilitadas para RFID. A menos que estén debidamente protegidos contra la clonación, los atacantes podrían usar Flipper Zero para acceder a ubicaciones protegidas por cerraduras controladas por RFID. Flipper Zero también puede imitar teclados USB y ejecutar scripts de patitos de goma preconfigurados para automatizar tareas y realizar o facilitar acciones específicas dentro de un entorno de destino, como extraer datos confidenciales. Entonces, por lindo que sea, Flipper Zero ha recibido muchas críticas debido a la preocupación de que pueda usarse para ayudar e incitar a delitos, en particular el robo de automóviles, dada su capacidad para clonar llaveros (aunque, para ser justos, esto es no sin algunas limitaciones serias). Por lo tanto, ha sido objeto de escrutinio por parte de varios gobiernos: Canadá está considerando una prohibición total y Brasil confiscó los envíos entrantes del producto en un momento. O.MG El cable O.MG parece tan sencillo como el cable de carga normal de un teléfono inteligente. Desarrollado por un investigador de seguridad que se hace llamar «MG» en línea, el cable fue creado como una prueba de concepto para demostrar los riesgos potenciales de seguridad asociados con los periféricos USB. Figura 4. Cables O.MG (fuente) Los cables albergan una gran cantidad de capacidades que permiten su uso indebido para diversas acciones maliciosas. Pueden funcionar de manera similar a USB Rubber Ducky y Bash Bunny, ejecutando código preconfigurado y funcionando como un registrador de teclas que los hace adecuados para la filtración de datos y la ejecución remota de comandos. De hecho, los cables O.MG incluyen un punto de acceso Wi-Fi y pueden controlarse desde un dispositivo controlado por un atacante a través de una interfaz web. Los cables están equipados con conectores que son compatibles con los principales tipos de dispositivos y se pueden conectar y configurar para dispositivos que ejecutan Windows, macOS, Android e iOS. Ay dios mío. Mantenerse a salvo Si bien estas herramientas se han utilizado en varias demostraciones, no parece haber ningún informe de que realmente se hayan utilizado en ataques del mundo real. Aun así, es prudente aplicar una combinación de controles técnicos, políticas organizacionales y capacitación de concientización de los empleados para ayudar a su organización a mantenerse a salvo de dispositivos potencialmente riesgosos. Por ejemplo: las organizaciones deben restringir el uso de dispositivos externos como unidades USB y otros dispositivos periféricos y aplicar políticas que requieran que todos los dispositivos externos sean aprobados antes de conectarse a los sistemas corporativos. Las medidas de seguridad física son igualmente importantes para que personas no autorizadas no puedan obtener acceso físico a los sistemas y dispositivos corporativos y no puedan manipularlos. También es crucial organizar capacitaciones periódicas sobre concientización sobre seguridad para los empleados y educarlos sobre los riesgos asociados con los ataques basados ​​en USB, incluido el cuidado al conectar unidades USB aleatorias. Utilice soluciones de seguridad que puedan detectar y frustrar actividades maliciosas iniciadas por dispositivos no autorizados y ofrecer funciones de control de dispositivos que permitan a los administradores especificar qué tipos de dispositivos pueden conectarse a los sistemas corporativos. Asegúrese de que las funciones de ejecución automática y reproducción automática estén desactivadas en todos los sistemas para evitar que cargas maliciosas se ejecuten automáticamente cuando se conecten dispositivos externos. En algunas situaciones, los bloqueadores de datos USB, también conocidos como condones USB, pueden resultar útiles, ya que despojan a un puerto USB de sus capacidades de transferencia de datos y lo convierten en un puerto de solo carga.