Investigadores revelan que defensas contra “juice jacking” en iOS y Android han sido ineficaces durante años
Hace aproximadamente una década, Apple y Google empezaron a actualizar sus sistemas operativos iOS y Android para hacerlos menos vulnerables al “juice jacking”, una técnica de ataque que permite robar datos o ejecutar código malicioso al conectar un teléfono a un cargador manipulado. Sin embargo, recientes investigaciones han revelado que estas medidas de protección han presentado fallas fundamentales que las hacían fáciles de evadir desde hace años.
El término “juice jacking” fue acuñado en 2011 tras un informe publicado en KrebsOnSecurity que describía un ataque presentado durante una conferencia de seguridad Defcon. La técnica consiste en equipar un cargador con componentes ocultos que permiten acceder a archivos y otros recursos internos del teléfono, de manera similar a como lo haría una computadora cuando se conecta a un dispositivo móvil.
Los atacantes colocaban estos cargadores en aeropuertos, centros comerciales u otros espacios públicos para atraer a usuarios que necesitaban recargar sus dispositivos. Aunque aparentemente solo proporcionaban electricidad, en realidad podían descargar archivos o ejecutar programas maliciosos en segundo plano. En respuesta a esta amenaza, desde 2012, tanto Apple como Google implementaron una medida de seguridad que obligaba a los usuarios a aprobar manualmente una solicitud de conexión antes de permitir el acceso a sus teléfonos.
Esta estrategia se basaba en un principio clave del protocolo USB, que establece que un puerto solo puede actuar como “anfitrión” o “periférico”, pero no como ambos simultáneamente. En el caso de los teléfonos, esto significaba que podían:
-
Actuar como anfitriones al conectar, por ejemplo, una memoria USB o un teclado, teniendo acceso a los recursos de esos dispositivos.
-
O funcionar como periféricos al ser conectados a una computadora o a un cargador malicioso, que como anfitrión, tendría acceso al sistema del teléfono.
Una vulnerabilidad crítica en la seguridad USB
Investigadores de la Universidad Tecnológica de Graz, en Austria, descubrieron recientemente una falla que compromete todo el fundamento de estas medidas de protección. El problema radica en que se asumió erróneamente que un dispositivo USB no podría inyectar eventos de entrada para aprobar automáticamente las solicitudes de conexión. Dado que teóricamente un dispositivo USB no puede actuar como anfitrión y periférico al mismo tiempo, esta suposición parecía válida. Sin embargo, los modelos de confianza integrados en iOS y Android presentan brechas que pueden ser explotadas.
A partir de este hallazgo, los investigadores desarrollaron “ChoiceJacking”, el primer ataque conocido que logra evadir las mitigaciones contra el “juice jacking”.
“Observamos que estas medidas de mitigación suponen que un atacante no puede inyectar eventos de entrada al establecer una conexión de datos”, señalaron los investigadores en un artículo que será presentado en agosto en el Usenix Security Symposium en Seattle. “No obstante, demostramos que esta suposición no se sostiene en la práctica”.
Este descubrimiento pone en evidencia la urgente necesidad de revisar y reforzar los mecanismos de seguridad en dispositivos móviles para proteger a los usuarios de amenazas que, aunque antiguas, siguen vigentes y evolucionando.
¿Cómo saber quién visita tu perfil de Facebook?
En esta guía te explicamos cómo puedes averiguar quién entra o revisa tu perfil de Facebook o visualiza tu contenido, utilizando un método seguro que protege tu privacidad. La técnica que detallamos consiste en revisar el código HTML de tu página de perfil, evitando así exponer tus datos personales a terceros. La única desventaja es que no podrás saber exactamente cuándo cada persona accedió a tu perfil.
¿Por qué recomendamos este método? Principalmente porque usar aplicaciones o páginas de terceros implica otorgarles acceso a tu información personal en Facebook. Esto no solo pone en riesgo tu privacidad, sino que también podrías estar compartiendo datos sensibles con desconocidos. Por ello, preferimos sugerirte un procedimiento más técnico, pero completamente seguro y que no requiere instalar programas adicionales.
Pasos para saber quién ha visto tu perfil de Facebook
El primer paso es ingresar a tu cuenta de Facebook. Una vez dentro, debes acceder directamente a tu página de perfil. Para ello, haz clic en tu foto de perfil ubicada en la esquina superior derecha de la pantalla. Es crucial que entres a tu propio perfil, ya que este procedimiento no funciona en la página de inicio ni en otros apartados de Facebook. Puedes hacerlo desde navegadores como Chrome, Edge u otros similares.
Una vez en tu perfil, presiona la tecla F12 o usa la combinación Control + Mayúsculas + I para abrir las herramientas de desarrollador. Desde allí, debes dirigirte al visor del código fuente de la página. Alternativamente, puedes presionar Control + U, lo que abrirá automáticamente el código fuente en una nueva pestaña del navegador.
Con el código fuente abierto, debes utilizar el buscador integrado. Para ello, presiona Control + F, lo que activará una barra de búsqueda. En el campo de búsqueda, escribe el término BUDDY_ID. Al hacerlo, aparecerán varias coincidencias en el código.
Cada entrada que empiece con BUDDY_ID corresponde a un perfil de usuario que ha visitado tu cuenta o ha interactuado con tu contenido en Facebook. Aunque este método no ofrece detalles como la hora exacta de la visita, sí te permite identificar a algunas de las personas que han estado revisando tu actividad en la red social.
Consideraciones finales
Aunque esta técnica resulta útil para quienes desean saber quién muestra interés en su perfil, es importante recordar que no se trata de una función oficial de Facebook. La plataforma no ofrece actualmente una opción nativa para ver quién visita tu perfil, y cualquier otra herramienta que prometa hacerlo probablemente pondrá en riesgo tu privacidad.
Utilizar métodos manuales como el análisis del código fuente sigue siendo una de las alternativas más confiables. Además, al no requerir la instalación de aplicaciones ni la entrega de tus datos a terceros, puedes estar seguro de que tu información personal se mantiene protegida.
Así que, si sientes curiosidad por saber quién está pendiente de tus publicaciones o de tu perfil, ahora ya sabes cómo hacerlo de manera segura y responsable.