"No hay que tener miedo a viajar en avión porque es el medio más seguro estadísticamente hablando", es una afirmación bien conocida. Incluso en una fuerte tormenta, se suele medio bromear con que "mientras veas a los tripulantes de cabina tranquilos" significa que los traqueteos no van más allá de lo normal.
"Pero si ves a las azafatas preocupadas y con el miedo en la cara... prepárate para lo peor". ¿Qué tiene que ver esto con el mundo de la informática? Que adaptando el chascarrillo podemos ver estos días a "tripulantes expertos la seguridad de nuestros PCs" como Bruce Schneier, Matt Blaze y Karsten Nohl, que acumulan décadas de experiencia, sudando la gota gorda ante la que se avecina.
El problema es que se ha descubierto una vulnerabilidad en unos dispositivos tan pequeños y aparentemente inocentes como universales: los pendrives USB.
Y si los virus orgánicos se propagan de forma muchas veces imparable, el hecho de 'compartir los pendrives' es algo tan habitual como potencialmente mortífero para el PC y los datos que guardamos a partir de ahora.
Lo peor de la situación es que a diferencia de otro tipo de 'software malicioso' como virus o troyanos esta nueva amenaza no puede evitarse con un antivirus.
BadUSB: un código maligno
Ni con seguir un consejo básico como "no abrir un fichero ejecutable que te llegue por correo o te encuentres en cualquier pendrive". En el caso del BadUSB -que es como se llama este código maligno- basta enchufar el pendrive para que se ejecute y realice todo tipo de actividades perniciosas.
El descubrimiento formal de este fallo de seguridad lo presentarán oficialmente Karsten Nohl y Jakob Lell en la conferencia de seguridad Black Hat de Las Vegas este verano, pero los gurús de la seguridad informática ya han podido examinar el trabajo por adelantado para comprobar la magnitud del problema.
"Impresionante", decía Schneier, acostumbrado a permanecer impasible ante casi todo tipo de amenaza.
Cómo se cree que funciona BadUSB
En base a lo que han explicado los investigadores se sabe que BadUSB se esconde en una parte del pendrive llamada firmware, que es donde está el código básico que permite funcionar la electrónica del aparato.
Se activa automáticamente con solo enchufarlo a cualquier PC. Por esta razón, aunque se borre el pendrive completamente el código malicioso permanece allí.
Además, el secretismo que rodea a ese código -distinto para los cientos de fabricantes que venden dispositivos de este tipo en todo el mundo- hace casi imposible detectarlo.
Resulta tan inquietante como ingeniosa la forma en que el BadUSB se esconde: como ha tomado el control del pendrive si el ordenador lanzara una consulta de comprobación acerca de qué firmware se está ejecutando el dispositivo podría simplemente 'mentir' y devolver información falsa.
Puede hacerse pasar por el firmware de un fabricante de prestigio o evitar ser borrado. Por esta razón se cree que puede ser casi inmortal en los pendrives que lo contienen. Pero todavía hay algo peor:
Como casi todo software malicioso, BadUSB puede también 'reproducirse', algo que será sin duda inevitable. Se puede copiar del pendrive al PC o del PC al pendrive, creando copias de sí mismo.
De modo que una infección a nivel mundial es un escenario que no está lejos de lo posible. Basta ver cómo circulan los pendrives por las mesas de las oficinas y entre los amigos.
Un problema de consecuencias incalculables
¿Qué tipo de 'maldades' puede llevar a cabo el BadUSB? Por desgracia, desde las más sencillas a las más complejas. Puede hacerse pasar por un teclado y lanzar órdenes y comandos para forzar al ordenador a hacer algo, como si hubiera una persona frente a la máquina.
Puede interceptar las comunicaciones de Internet. O puede falsear los sitios web que se visitan modificando el sistema DNS que necesita toda conexión.
Pero la pesadilla no acaba ahí: como el problema está en el firmware de los dispositivos USB -y aunque principalmente se habla de pendrives- BadUSB afecta también a otros aparatos del mismo tipo: ratones, teclados, cargadores y todo tipo de gadgets.
Y si alguien quiere escuchar esta pesadilla convertida en lector nocturno, basta pensar que los investigadores dicen haber probado a instalarlo en teléfonos Android que se conectan por USB con la una facilidad similar.
¿Qué se puede hacer para evitar un desastre?
Hasta que se haga pública más información y todos los detalles será difícil ver cómo habrá de movilizarse el sector informático para hacer frente a este problema.
Normalmente los dispositivos modernos tienen una característica llamada 'firma criptográfica' que permite a los PCs comprobar qué fabricante ha programado el firmware y asegurarse de que además no ha sido modificado.
Por desgracia, cuando se desarrolló hace ya muchos años el USB, esta práctica no era demasiada común. Ahora sufriremos las consecuencias, porque además solucionarlo no será trivial, por no decir imposible.
Los usuarios poco pueden hacer al respecto excepto esperar. Lo que recomiendan los expertos simplemente es tratar los pendrives (y otros dispositivos) como si fueran agujas hipodérmicas: no compartirlos nunca. Dado que no se puede garantizar de dónde vienen ni por dónde ha pasado, es mucho mejor utilizar cualquier otro método para transferir archivos que usar pendrives.
Respecto a los pendrives y otros aparatos USB -y a menos que se encuentre una solución razonable para el problema- lo más conveniente según explican sería utilizar dispositivos de marcas fiables y conocidas, dado que de algún modo estarían respaldados por ciertas garantías, aunque teóricamente nunca al cien por cien.
Para el común de los mortales eso significaría renunciar a los 'pendrives de regalo', a los ratones comprados en el bazar chino y a todo tipo de dispositivos 'divertidos' que se compran muchas veces como regalos: lámparas, juguetes o muñecos. Pero quien quiera seguridad tendrá que renunciar a ellos, quizá para siempre.
Si lo que dicen es cierto y no encuentran una solución universal, esto puede marcar un antes y un después en la informática de consumo
![[mad]](/images/smilies/nuevos/miedo.gif "loco")
.![[360º]](/images/smilies/nuevos/vueltas.gif "como la niña del exorcista")
![[tomaaa]](/images/smilies/nuevos2/tomaa.gif "toma")
