Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

El peligro de un USB y los ataques de inyección de pulsaciones de teclas

Por Loc Nguyen, jefe del equipo de pruebas de penetración
Última actualización:
Comparte esta publicación

El panorama de USB

USB periféricos y los soportes extraíbles, como USB , han sido herramientas esenciales tanto para particulares como para organizaciones, sobre todo porque permiten almacenar y transferir datos con facilidad. Sin embargo, su popularidad también los ha convertido en un objetivo habitual para los ciberdelincuentes. A lo largo de los años, los actores maliciosos han aprovechado las vulnerabilidades de USB para llevar a cabo ciberataques complejos, lo que ha puesto en peligro la integridad de los datos y la seguridad de los sistemas. A pesar de la creciente concienciación sobre estos riesgos, muchos usuarios siguen sin ser conscientes de los peligros potenciales que plantean USB , aparentemente inofensivos. De hecho, estos dispositivos pueden parecer inofensivos a primera vista, pero pueden funcionar como teclado, ratón u otros periféricos una vez que obtienen acceso a un dispositivo, poniendo así en peligro su seguridad.

En 2010, Stuxnet se convirtió en un ciberataque histórico que utilizó USB y tuvo como objetivo las instalaciones nucleares de Irán. El ataque se llevó a cabo mediante USB infectadas, lo que permitió a Stuxnet infiltrarse en los sistemas de control industrial (ICS) y atacar específicamente los controladores lógicos programables (PLC) encargados de interrumpir los procesos de enriquecimiento de uranio. Este suceso puso de relieve las repercusiones destructivas de los ataques facilitados por USB y subrayó la necesidad de adoptar medidas integrales de ciberseguridad para proteger las infraestructuras críticas.

Tipos de ataques USB

En el ámbito de USB , los ataques anteriores se centraban principalmente en explotar vulnerabilidades relacionadas con el almacenamiento USB , el malware USB la reproducción automática USB y USB modificados de forma maliciosa, lo que a menudo daba lugar a ataques de desbordamiento de búfer para la escalada de privilegios. Sin embargo, las tendencias recientes apuntan a un cambio hacia el uso de ataques de inyección de pulsaciones de teclas o clics del ratón, o hacia la reprogramación del microcontrolador. Estos ataques se ejecutan a través de dispositivos de interfaz humana (USB camuflados como teclados o ratones de ordenador, con su firmware ingeniosamente modificado. Además, el USB también puede utilizarse para capturar el tráfico de red imitando un USB malicioso USB un adaptador USB . Esto permite que el USB actúe como un servidor DHCP, enrutando el tráfico a través de un DNS malicioso o presentando al host una puerta de enlace predeterminada maliciosa.

Además de otras tácticas, los atacantes también utilizan actualizaciones de firmware y USB en los ataques USB. Si un host inicia una actualización maliciosa de firmware en un USB con firmware modificado, el atacante puede reprogramar el USB y utilizarlo para comprometer el host. En el caso de un ataque USB , el atacante podría engañar al host para que descargue un controlador malicioso, lo que podría permitir la ejecución de código o aprovechar una vulnerabilidad de desbordamiento de búfer en el sistema de la víctima.

Investigadores de la Universidad Ben Gurión del Negev, en Israel, han clasificado los ataques USB en cuatro categorías principales, que incluyen una lista exhaustiva de 29 tipos diferentes de USB : microcontroladores programables, periféricos reprogramados de forma maliciosa, periféricos no reprogramados y ataques eléctricos.

Diagrama de ataques USB, en el que se clasifican los microcontroladores programables, USB y los ataques eléctricos

En el contexto de USB de tipo eléctrico, el USB supone un grave problema. Cuando se conecta, este dispositivo malicioso descarga potentes descargas eléctricas que pueden causar daños irreversibles en los componentes del equipo receptor.

Protocolo USB

El host identifica el tipo de USB conectado a él mediante un proceso denominado «enumeración de dispositivos». Durante este proceso, el host se comunica con el USB para obtener información sobre sus capacidades y funcionalidades. Esta información incluye el código USB del dispositivo, que identifica su tipo, como un teclado, un ratón, un adaptador u otro dispositivo HID.

Ventana del Administrador de dispositivos que muestra una lista de dispositivos de interfaz humana, incluidos los dispositivos compatibles con HID, los paneles táctiles y los controladores del sistema

El protocolo USB constituye un método estandarizado para la comunicación entre los dispositivos periféricos —como teclados, ratones y otros dispositivos de entrada— y el ordenador central. Al establecer una serie de normas y especificaciones, este protocolo garantiza un intercambio fluido de datos entre dichos dispositivos y el ordenador, lo que permite a los usuarios interactuar con las aplicaciones de software de forma eficaz.

A través del protocolo HID, los dispositivos transmiten paquetes de datos que contienen información sobre las entradas del usuario, como pulsaciones de teclas, movimientos del ratón y clics en botones, que posteriormente son interpretados por el sistema operativo del equipo. Este protocolo desempeña un papel fundamental a la hora de garantizar la compatibilidad y la interoperabilidad entre diversos dispositivos de entrada y sistemas informáticos, lo que lo convierte en un componente esencial de la informática moderna.

Ataque de inyección de pulsaciones de teclado

Un ataque de inyección de pulsaciones de teclas, que es un tipo específico de USB , manipula USB para introducir pulsaciones de teclas no autorizadas en el sistema objetivo. Estos ataques aprovechan el protocolo HID para inyectar pulsaciones de teclas maliciosas en un sistema objetivo, eludiendo las medidas de seguridad tradicionales y múltiples capas de protección, como los objetos de política de grupo (GPO), los cortafuegos, los programas antivirus e incluso Windows Defender, lo que deja al sistema vulnerable a acciones no autorizadas. Este ataque logra una ejecución de código fluida sin intervención del usuario al presentarse como un teclado USB y, a continuación, «escribir» atajos de teclado y comandos. Las pulsaciones de teclas se introducen tan rápidamente que son invisibles para la víctima, ya que ocurren en un abrir y cerrar de ojos.

Diagrama que ilustra un ataque de inyección de pulsaciones de teclas mediante una USB para introducir comandos de PowerShell en un sistema de destino

Simula un ataque de inyección de pulsaciones de teclas con el USB Ducky USB

UnUSB Ducky» es una formidable herramienta de pruebas de penetración para la inyección de pulsaciones de teclas desarrollada por Hak5 en 2010. Se trata de un pequeño USB con un diseño similar al de una USB estándar, pero que funciona como un teclado. Una vez conectado a un ordenador, el Rubber Ducky puede escribir al instante pulsaciones de teclas preprogramadas a gran velocidad, lo que permite la ejecución de comandos y scripts sin intervención alguna por parte del usuario. Esta característica lo convierte en una herramienta versátil para diversos usos de ciberseguridad, como las pruebas de penetración y la simulación de ataques USB.

Para utilizar el USB Ducky, es necesario diseñar una carga útil, convertirla en un archivo binario y, a continuación, cargarla en el dispositivo. Una vez completados estos pasos, el usuario malintencionado puede realizar acciones en el dispositivo de la víctima emulando un teclado.

El USB Ducky utiliza DuckyScript como lenguaje de programación, y la carga útil se escribirá utilizando esta sintaxis. A continuación se muestra una carga útil en DuckyScript que permite escribir en el dispositivo de la víctima un archivo llamado «usb_rubber_ducky.txt» que contiene el texto «Keystroke injection» cuando se inserta el USB malicioso.

Script que muestra comandos de inyección de pulsaciones de teclas mediante PowerShell y un USB ducky» USB para una demostración de ciberataque

Imagina el simple gesto de conectar una USB a tu ordenador portátil, sin saber que podría desencadenar un ataque de inyección de pulsaciones de teclas que se ejecuta sin que te des cuenta. Este ataque encubierto puede abrir en secreto numerosos servicios y, posteriormente, tomar el control de tu dispositivo, poniendo en peligro su seguridad y comprometiendo tus datos confidenciales. Es realmente inquietante darse cuenta del peligro potencial que puede suponer un USB aparentemente inofensivo. Veamos el vídeo que aparece a continuación para comprender la gravedad de esta amenaza.

Mitigación

En OPSWAT, nos regimos por la filosofía «Trust no file. Trust no device.™» (No confíes en ningún archivo. No confíes en ningún dispositivo.), que se centra en la implementación de soluciones de confianza cero y tecnologías patentadas y líderes en el mercado en todos los niveles de la infraestructura crítica de nuestros clientes. Protegemos redes, datos y dispositivos resolviendo sus retos desde la planta de producción hasta la nube, en todo el mundo. Somos conscientes de los riesgos de ciberseguridad que plantean los dispositivos periféricos y los soportes extraíbles para los sistemas esenciales. Para hacer frente a esto, hemos desarrollado MetaDefender Kiosk, una estación avanzada de desinfección de dispositivos periféricos y soportes extraíbles, que ayuda a prevenir muchos ataques procedentes de USB .

Kiosk  MetaDefender Kiosk OPSWATKiosk insertar Media, procesar archivos y revisar resultados

MetaDefender Kiosk proteger sus activos al permitir el control del flujo de datos que entran y salen de su organización. Se puede utilizar como estación de análisis de soportes en su propio hardware o en los quioscos OPSWAT. Kiosk procesa Media USB , DVD, tarjetas SD, memorias USB o disquetes. Una vez finalizado el análisis, Kiosk un informe detallado.

Gracias a las medidasKiosk integradas en MetaDefender Kiosk , Kiosk mejora Kiosk su resistencia frente a USB .

El siguiente vídeo muestra la eficacia del MetaDefender Kiosk proteger contra ataques USB, en particular aquellos que utilizan el USB Ducky.

Habla hoy mismo con uno de nuestros expertos y descubre por qué MetaDefender Kiosk la clave para prevenir las amenazas procedentes de dispositivos periféricos y soportes extraíbles.


Foto de Loc Nguyen, probador de penetración sénior en OPSWAT
Biografía del autor

Loc Nguyen es probador de penetración sénior en OPSWAT. Se encarga de mejorar de forma proactiva la seguridad de los productos OPSWATy de protegerlos frente a posibles ciberamenazas antes de que lleguen a los clientes. Además, comparte activamente sus conocimientos sobre ciberseguridad con sus compañeros y con los alumnos del programa OPSWAT .  

Loc Nguyen
Evaluador sénior de pruebas de penetración

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.