Los investigadores de seguridad Karsten Nohl y Jakob Lell aseguran que compartir libremente dispositivos USB entre equipos no es una buena idea para los que valoran su seguridad. Como prueba de concepto, los expertos de SR Labs han desarrollado el malware BadUSB para exponer las vulnerabilidades fundamentales de los aparatos que hacen uso del popular conector.
La colección de software malicioso que se presentará la próxima semana en la Black Hat de Las Vegas es capaz de infectar equipos de forma totalmente invisible. Lanzado desde el firmware de los dispositivos, BadUSB permite ejecutar inadvertidamente multitud de hacks entre los que se encuentra la redirección de tráfico en Internet o la introducción de comandos maliciosos.
"Si pones cualquier cosa en tu ranura USB, eso requiere mucha confianza", explica Nohl a Ars Technica. "Sea lo que sea, siempre podría haber algún código en el dispositivo que se ejecuta de forma automática. Siempre que alguna persona conecta un dispositivo USB a tu ordenador, se lo confías por completo. Es el equivalente a decir 'aquí está mi ordenador; me voy por ahí durante 10 minutos. Por favor, no hagas nada malo'".
Debido a que BadUSB se encuentra en el firmware de los dispositivos conectados, su detección y eliminación es imposible con los procesos de "limpieza" tradicionales a base de antivirus. En teoría, esta vulnerabilidad se puede explotar con cualquier aparato USB que utilice un firmware de control programable, incluyendo algunos teclados o ratones.
Los investigadores explican que este tipo de infección se puede transmitir del dispositivo USB al ordenador y viceversa, por lo que recomiendan utilizar estos aparatos como "agujas hipodérmicas" que no se comparten entre usuarios. "La próxima vez que tengas un virus en tu ordenador, prácticamente tienes que suponer que tus periféricos están infectados, y los ordenadores de otras personas que han conectado esos periféricos también", añade Nohl.
