Los investigadores de seguridad Karsten Nohl y Jakob Lell aseguran que compartir libremente dispositivos USB entre equipos no es una buena idea para los que valoran su seguridad. Como prueba de concepto, los expertos de SR Labs han desarrollado el
malware BadUSB para exponer las vulnerabilidades fundamentales de los aparatos que hacen uso del popular conector.
La colección de software malicioso que se presentará la próxima semana en la
Black Hat de Las Vegas es capaz de infectar equipos de forma totalmente invisible. Lanzado desde el
firmware de los dispositivos, BadUSB permite ejecutar inadvertidamente multitud de
hacks entre los que se encuentra la redirección de tráfico en Internet o la introducción de comandos maliciosos.
"Si pones cualquier cosa en tu ranura USB, eso requiere mucha confianza", explica Nohl a
Ars Technica. "Sea lo que sea, siempre podría haber algún código en el dispositivo que se ejecuta de forma automática. Siempre que alguna persona conecta un dispositivo USB a tu ordenador, se lo confías por completo. Es el equivalente a decir 'aquí está mi ordenador; me voy por ahí durante 10 minutos. Por favor, no hagas nada malo'".
Debido a que BadUSB se encuentra en el
firmware de los dispositivos conectados, su detección y eliminación es imposible con los procesos de "limpieza" tradicionales a base de antivirus. En teoría, esta vulnerabilidad se puede explotar con cualquier aparato USB que utilice un
firmware de control programable, incluyendo algunos teclados o ratones.
Los investigadores explican que este tipo de infección se puede transmitir del dispositivo USB al ordenador y viceversa, por lo que recomiendan utilizar estos aparatos como "agujas hipodérmicas" que no se comparten entre usuarios. "La próxima vez que tengas un virus en tu ordenador, prácticamente tienes que suponer que tus periféricos están infectados, y los ordenadores de otras personas que han conectado esos periféricos también", añade Nohl.