El FBI emitió una alerta para la industria privada en relación a un keyloggers que se esconden en cargadores USB de pared, y tienen como blanco a teclados inalámbricos. Las características son idénticas a las de KeySweeper, hasta ahora el único caso conocido de un cargador que registre las pulsaciones; sin embargo, es curioso que este aviso haya salido el 29 de abril pasado, cuando la aparición de KeySweeper fue en enero de 2015.
Si se coloca estratégicamente en una oficina, un atacante podría recolectar información personal
Vale la pena prestar atención a la advertencia de la fuerza de seguridad. Después de todo, la posibilidad de que algo que supuestamente está cargando tu teléfono registre tus contraseñas y todo lo que escribes para reportarlo a un atacante podría ser alarmante.
De todas formas, no debes entrar en pánico: el peligro existe solo cuando tu dispositivo móvil está enchufado a este cargador USB de pared alterado, que posee en su interior elementos como un minicontrolador Arduino y un chip de radiofrecuencia.
Además, lo que espía es la comunicación de ciertos teclados inalámbricos de Microsoft fabricados antes de 2011 con el equipo, por lo que deberían darse todas estas condiciones para que el ataque, que hasta el momento es una prueba de concepto mostrada por Samy Kamkar en un video, sea exitoso.
El FBI señala:
Si se coloca estratégicamente en una oficina u otra locación donde individuos podrían usar dispositivos inalámbricos, un atacante podría potencialmente recolectar información de identificación personal (PII), propiedad intelectual, secretos comerciales, contraseñas u otra información sensible.
Dado que los datos son interceptados antes de llegar al CPU, los jefes de seguridad podrían no tener conocimiento de cómo la información sensible está siendo robada.
Al mismo tiempo, el FBI asegura que una herramienta como KeySweeper podría ser usada para espiar los registros de otros dispositivos inalámbricos, además de teclados.
"Dado que los dispositivos Arduino son modulares y programables, un actor podría recolectar datos capturando y descifrando protocolos de comunicación de varios otros dispositivos inalámbricos, dependiendo de la debilidad o facilidad de explotación del cifrado de ese protocolo", dice el comunicado.
Conociendo los rangos de radiofrecuencia en los que operen, "un dispositivo como KeySweeper podría ser usado para recolectar datos de otros dispositivos inalámbricos además de teclados, para potencialmente incluir datos desde Bluetooth, Wi-Fi o tráfico SMS". Sin embargo, cabe destacar que la posibilidad de recolectar la información no implica que se pueda acceder a ella; eso depende de si se puede romper el cifrado del protocolo que se utiliza.
Al pie de página, el FBI aclara que estos hallazgos surgen de una investigación propia, lo cual podría explicar la "demora" en el lanzamiento de la advertencia. Sin embargo, como señala Ars Technica, el comunicado no hace ninguna referencia a atacantes interceptando tráfico de dispositivos inalámbricos in-the-wild. El medio le preguntó a Samy Kamkar si sabía de algún ataque real que usara dispositivos similares a KeySweeper y tampoco él está al tanto de ninguno.
Aún así, nunca está de más escuchar una advertencia, sobre todo en el cambiante ámbito de la seguridad informática: el vector de ataque que hoy no existe podría ser hallado mañana.
Por eso, en el ámbito corporativo, mejor seguir los consejos del FBI:
- Limitar la cantidad de enchufes disponibles para cargar dispositivos
- Saber qué cargadores están siendo utilizados
- Sacar de las instalaciones cualquier cargador desconocido
En cuanto al hogar, como mencionamos arriba, hay ciertas condiciones específicas que deberían cumplirse para que un keylogger pueda espiar los registros de un teclado inalámbrico. De igual forma, es preferible evitar su uso y elegir teclados con cable mientras sea posible.