Imagínate la siguiente situación: vas por la calle cazando Pokémon, respirando aire fresco, viendo a la gente o sacando a pasear al perro cuando algo te llama la atención. Una memoria USB que está ahí, en el suelo.
https://media.kasperskydaily.com/wp-content/uploads/sites/87/2016/08/05200259/dangerous-usb-featured.jpg
¡El premio mayor! ¡La mañana de Navidad! ¡Un (pequeño) premio de lotería! Pero la pregunta es: ¿qué hay en ese dispositivo? ¿Fotos de las vacaciones? ¿Planes malévolos para dominar el mundo? ¿La tarea de algún estudiante? No podrás saberlo, a menos que…
You found a USB in your hotel lobby in #Vegas Do you plug it into your computer? #KLBH #BlackHat2016
— Kaspersky (@kaspersky) August 4, 2016
Espera. Si estuvieras en esta situación, ¿qué harías? ¿Lo conectarías o lo tirarías al bote de basura más cercano? No serías el único que probaría a conectarlo, aunque no deberías hacerlo por nada del mundo.
Esta semana en Black Hat, Elie Burztein presentó los resultados de un pequeño experimento social que su equipo había dirigido. Tiraron 297 memorias USB por el campus de la Universidad de Illinois (con el permiso de la universidad, claro) que contenían scripts inofensivos cuya única función era avisar a los investigadores si alguien insertaba el dispositivo en un ordenador y transmitir la información de la hora y de la ubicación.
Los resultados fueron esclarecedores: el 48% de las memorias USB se conectaron a un ordenador y muchas lo hicieron antes de que pasaran 10 horas después haber sido recogidas. La sorpresa fue que el 68% de las personas que las recogieron y las conectaron dijeron (en una encuesta posterior) que lo hicieron para intentar devolvérselos a su dueño (¡la humanidad prevalece!). Pero, aunque lo hagas con buenas intenciones, estarás abriendo la puerta al infierno.
Would your employees plug a #USB stick they found in the parking lot into their machine? https://t.co/mX8vSYCPud #IT pic.twitter.com/dtwnmXmWic
— Kaspersky (@kaspersky) April 16, 2016
Esta es la conclusión: si te topas con una situación parecida a la de los estudiantes de la Universidad de Illinois y encuentras una memoria USB en el suelo, no deberías recogerla. Claro que podrías ver las fotos privadas de alguien o sus declaraciones de impuestos, pero puede que, en lugar de ello, pases a ser el objetivo de un delincuente.
Burztein dirigía la investigación y no tenía ninguna intención maliciosa. El script de la memoria USB era benigno y la prueba se llevó a cabo con responsabilidad. Pero puede que a ti no te suceda lo mismo si te encuentras una memoria USB.
Insertar el dispositivo podría causar serios daños, como otorgarle a un atacante el acceso a tu computadora y rastrear todo lo que teclees (incluidas las contraseñas). También podría infectar tu equipo con ransomware.
About 30% of #malware infections are spread via removable media like USB sticks. Here are some tips on USB safety. http://t.co/t3nVf7zJ52
— Kaspersky (@kaspersky) August 12, 2013
Desde el punto de vista de un ciberdelincuente, es un buen negocio: la cantidad de dinero de tu tarjeta de crédito que un keylogger puede robar o el rescate que un cifrador pediría son una recompensar mayor que el precio de venta de una memoria USB. Y dado el 48% de personas que lo recogieron, parece ser que sería un buen negocio para los malos.
Regresemos…
Te has encontrado una memoria USB en el suelo. ¿La insertarás?
O mejor dicho: ¿quieres ponerte en riesgo?