Desde el nacimiento del telégrafo, hasta el desarrollo del sistema telefónico del SXX, un entramado de cables y operadores han conectado a millones de personas alrededor del mundo. Hoy su nieto, el smartphone, es foco de ataques para robar la información sensible que haya en él.
De la mano del boom de smartphones ha surgido una tendencia: el juicejacking, que es es un tipo de ataque que permite crackear y robar información de una persona en el momento en el que está cargando su teléfono celular.
El juicejacking puede darse tanto de forma directa, como a través de algún malware.
Para conocer más acerca de esta tendencia, en OhMyGeek! conversamos con Marcos Nehme, Director de la división técnica de RSA para Latinoamérica, quien nos habló de los riesgos que implicar no portar tu caragdor personal en todo momento.
1. ¿Cuáles son los principales riesgos de cargar la batería de tu smartphone en un kiosko de carga, como los que hay en aeropuertos o centros comerciales?
Los riesgos son los mismos que para cualquier otro tipo de ataque en el que utilicen ingeniería social, vía Internet o phishing. Esto porque puede implicar el robo de información personal desde sus teléfonos, ya que muchos de nosotros los usamos para guardar información sensible, -lo mismo como en los tablets-.
Lo más peligroso es esto es que la información no sólo puede ser utilizada contra una persona, sino que delincuentes cibernéticos pueden también atacar compañías e incluso países.
2. ¿Cuáles son las estadísticas de juicejacking en la región?
No tenemos datos.
3. ¿Por qué es importante que siempre lleves contigo tu propio cable para cargar tu smartphone?
Es importante contar en todo momento con el cargador del teléfono y sólo usar los puntos de carga gratuita cuando sea estrictamente necesario. Cuando más controles tengamos y más paranoicos seamos con este tema es mejor.
4. ¿Cuáles son los sistemas operativos que pueden verse más afectados? Además, ¿qué tan cierto es que si tengo un iPhone no me voy a contagiar?
Hoy los mayores ataques y códigos maliciosos se dan en teléfonos con sistema operativo Android. Para iOS también hay, el punto es que Android tiene un sistema más abierto y es por ello que hay más gente desarrollando aplicaciones para estos dispositivos, lo que lo hace más vulnerable.
Un punto importante es que RSA viene trabajando en el mercado de dispositivos móviles, principalmente enfocado en detectar fraudes realizados en este tipo de celulares. Creamos un servicio de anti rogue fraud detection, tanto para iPhone como para Android, y conseguimos bloquear este tipo de aplicaciones “no verdaderas” en las tienas de Google Play y el Apple Store.
5. Si mi teléfono fue infectado y luego yo lo conecto a otra fuente de poder, como por ejemplo, mi computador, ¿podría mi smartphone infectar mi PC?
Esto puede pasar, siempre hay riesgos y estos se basan en la vulnerabilidad, en cuánta amenaza estamos sufriendo, y cuál es el valor del activo en peligro. En este sentido es riesgoso el conectarlo con otros dispositivos considerando que tenemos información confidencial compartida y si el malware ya esta instalado en tu teléfono celular, podría infectar otros dispositivos.
6. A qué información sensible puede acceder un ciberdelincuente si estoy infectado por medio de juicejacking?
Hay muchas informaciones sensibles, como por ejemplo su calendario de compromisos, sus datos de contactos de otras personas, etc… Esto puede ayudar a un atacante a utilizar herramientas de ingeniería social, pues el hacker puede saber que a cierta hora tengo una consulta médica y me pueden llamar haciéndose pasar por el mismo doctor o su asistente para pedirme datos personales.
Igualmente es posible robar contraseñas. Por ejmplo, mucha gente guarda los datos de sus bancos, de cuentas y sitios Web en su smartphone, lo cual representa un peligro.
7. ¿Qué medidas puedo tomar si realmente necesito recargar mi teléfono en un kiosko porque mi batería murió?
Lo primero es realmente ser paranoico y estar alerta siempre, debemos vigilar para no ser sorprendidos.
Lo segundo es -con respecto a los datos que se almacenan en el celular- no dejar anotadas las claves de manera visible, sino que se debe buscar la forma de codificarlas. Por ejemplo, es posible usar una combinación de números y letras que luego me permita recordar la clave. Con estos consejos se puede bajar el riesgo de un ataque como el phishing y otros.
8. Si mi teléfono tiene un password de seguridad, ¿estoy excento del peligro de ser contagiado con algún malware en kioskos de recarga?
Esto reduce el riesgo pero no es solamente lo único que va a evitar el ataque. Hay muchas técnicas y herramientas que permiten este tipo de hackeo, pero el consejo de crear claves sobre claves y manejar la información de una manera diferente sin duda ayudará a evitar un mayor desastre.
