Para los ganadores de un reciente concurso de seguridad de datos en Taiwan, fue, tanto literal como figurativamente, más ‘palo que zanahoria’ la gloria obtenida, al recibir como premio dispositivos USB plagados de malware.
El Bureau de investigación criminal (CIB, por sus siglas en inglés) del país, entregó 250 unidades USB a los miembros del público que pasaran una prueba que evaluaba su conocimiento sobre ciberseguridad, llevado a cabo dentro de un evento de Seguridad Informática llevado a cabo por la Oficina Presidencial de Taiwan entre el 11 y el 15 de diciembre del pasado año. Poco sabían los involucrados que 54 de las unidades de 8GB contenían malware.
La distribución de los dispositivos USB se frenó el 12 de diciembre luego de que algunos de los que resultaron exitosos en la prueba reportaron que sus premios habían despertado la alerta de sus sistemas por contener malware. Veinte unidades fueron devueltas mientras que las restantes parecen continuar en circulación.
El malware, llamado XtbSeDuA.exe, está diseñado para robar información personal de computadoras de 32-bits. De ser exitoso, intenta copiar la información a una dirección IP basada en Polonia, que la reenvía a servidores no identificados, de acuerdo con CIB. El programa malicioso es conocido por haber sido utilizado por una red de fraude cibernético descubierta por Europol en 2015.
El CIB dijo que la infección se originó de una estación de trabajo utilizada por un empleado de un contratista local “para transferir un sistema operativo a las unidades y probar su capacidad de almacenamiento”. Algunos de estos dispositivos fueron producidos en China, pero la policía ha rechazado comentarios sobre espionaje, citando en cambio un accidente.
Los eventos de seguridad no son ajenos a una similar distribución de USB comprometidos. La compañía de telecomunicaciones australiana Telstra repartió unidades de USB infectadas con malware en la conferencia de AusCERT en ese país en 2008, previo a que IBM hiciera lo mismo, en ese mismo evento, dos años después.
Allá por 2002, IBM tuvo un dispositivo USB que contenía un virus extraño del sector de arranque en él. La compañía fue la culpable de otro accidente que involucraba estas unidades el pasado año, esta vez transportando USB infectados con troyanos junto con los sistemas de almacenamiento Storwize de la compañía.
Mientras tanto, una encuesta realizada en 2016 halló que la curiosidad tiende a obtener lo mejor de las personas cuando se trata de unidades USB perdidas. Cerca de la mitad de un total de 300 estudiantes universitarios conectaron a sus máquinas dispositivos que habían sido lanzados por el campus unos momentos antes, ingresando a los archivos guardados dentro.
Otro problema con los dispositivos USB es que suelen ser confundidos, como se evidenció en el Reino Unido dos años atrás. Más recientemente, una memoria sin cifrado que contenía información sensible sobre el Aeropuerto Heathrow de Londres fue hallada en la zona oeste de Londres.
El principal ejemplo de qué tanto caos puede causar un malware dando vueltas en una unidad USB fue provista por Stuxnet. Ese gusano dio como resultado grandes daños a centrifugadoras de la facilidad nuclear de Natanz en Iran en 2008, y se cree que ha sido introducida allí mediante un dispositivo USB. En 2013, dos plantas generadoras de energía de Estados Unidos sin nombre fueron identificadas como anfitrionas de infecciones de malware, cortesía de unidades USB. Mientras, en 2016, una computadora y 18 USB utilizados por una planta nuclear en Alemania también fueron identificadas por contener malware.