El choicejacking pone en riesgo tu móvil sin que lo sepas

El choicejacking es una de las ciberamenazas más recientes y preocupantes para los usuarios de móviles. Se trata de una evolución del conocido juice-jacking, ese método por el que un cargador aparentemente inocente, como los que encontramos en aeropuertos, hoteles o centros comerciales, puede acceder a los datos del dispositivo conectado. Pero lo que hace especialmente peligroso al choicejacking es que el usuario no tiene que hacer nada: la estación maliciosa puede forzar la conexión en modo de transferencia de archivos sin que nos demos cuenta.

Cómo funciona el choicejacking

Este ataque consigue manipular la respuesta del sistema y activar opciones que, en condiciones normales, requieren consentimiento explícito. Así, el contenido del móvil, fotos, documentos, contactos, puede quedar totalmente expuesto. Y todo ello en apenas 133 milisegundos, menos de lo que dura un parpadeo humano.

Tradicionalmente, al conectar un móvil a un ordenador mediante USB, aparece un aviso preguntando si se quiere cargar el dispositivo o activar la transferencia de archivos. Este paso de seguridad fue una respuesta al juice-jacking, una amenaza detectada en 2011. Sin embargo, según una investigación de la Universidad Tecnológica de Graz (Austria), publicada en USENIX Security Symposium, ya no es suficiente.

Los investigadores demostraron cómo un dispositivo malicioso puede simular ser un teclado o ratón, inyectando pulsaciones de teclas o activando opciones ocultas del sistema como el modo desarrollador. Incluso puede aprovechar vulnerabilidades en los protocolos de comunicación para forzar la transferencia de datos, afectando tanto a móviles Android como a dispositivos iOS.

Protegerse de esta amenaza

Según Adrianus Warmenhoven, asesor de ciberseguridad de NordVPN, «el choicejacking manipula un dispositivo para que tome decisiones que el usuario no tenía previstas, todo ello sin que se dé cuenta». El ataque se aprovecha de la confianza que depositamos en nuestros móviles y sus interfaces, haciéndonos creer que solo estamos cargando la batería, cuando en realidad estamos permitiendo el acceso a nuestros archivos personales.

En un comunicado difundido por la firma, se advierte que los ciberdelincuentes pueden usar esta técnica para instalar malware o extraer datos sensibles. «Con un simple aviso engañoso, los atacantes pueden engañar a la gente para que permita la transferencia de datos», explica Warmenhoven.

Qué puedes hacer para protegerte

Ante un ataque tan difícil de detectar, la prevención es fundamental. Estas son algunas recomendaciones clave para evitar ser víctima del choicejacking:

• Evita cargar el móvil en estaciones públicas. Siempre que sea posible, lleva una batería externa o busca enchufes de pared donde puedas usar tu propio adaptador.
• Activa el modo «solo carga» en tu dispositivo. Algunos modelos Android permiten seleccionar esta opción al conectar el cable, impidiendo la transferencia de datos.
• Actualiza tu móvil con regularidad. Los parches de seguridad corrigen fallos que pueden ser aprovechados por este tipo de ataques.
• Mantén la batería por encima del 20%. Así reduces la necesidad de recurrir a cargas improvisadas en lugares no seguros.
• Desconfía de los mensajes emergentes. Si al conectar tu móvil a un puerto USB aparece una ventana que no esperabas o que te pide permisos extra, mejor cancélala.

La seguridad de los cargadores públicos

El choicejacking nos recuerda que no todo lo que parece seguro lo es. Un simple gesto como cargar el móvil puede convertirse en una puerta de entrada para los ciberdelincuentes. Como apunta NordVPN, la concienciación es la primera línea de defensa. Y en este caso, basta con tener a mano un powerbank o el propio cargador para evitar que nuestra vida digital quede al descubierto.