Si su celular muestra estas señales al cargarlo en sitios públicos, podrían estar robando sus datos bancarios

Cada vez más personas dependen de su celular para acciones, como navegar por internet, hacer pagos, almacenar documentos, y comunicarse. Es por esto que los dispositivos móviles se han convertido en una herramienta esencial.

Pero lo que algunos desconocen es que cargar el celular en un puerto USB público o con un cable desconocido puede ser una puerta de entrada para los ciberdelincuentes. Recientemente, salió a la luz un nuevo ataque, catalogado por agencias de seguridad como una amenaza creciente.

De acuerdo con información compartida por la empresa de ciberseguridad Kaspersky, en su página oficial, investigadores de la Universidad Tecnológica de Graz, ubicada en Estiria (Austria), descubrieron el método, conocido como ataque ChoiceJacking, que emplea estaciones de carga aparentemente inofensivas que, sin intervención del usuario, autorizan automáticamente la conexión en modo de transferencia de datos.

Según el tipo de dispositivo y la versión del sistema operativo, han identificado tres formas diferentes de ejecutar este ataque, cada una diseñada para sortear las restricciones del protocolo USB, que impide que un aparato actúe simultáneamente como anfitrión y auxiliar.

¿Cómo funciona este ataque?

Según el sitio web, citado anteriormente, el primer método descubierto es el más sofisticado, aunque también el más versátil, ya que afecta tanto a dispositivos Android como iOS. Consiste en utilizar un microordenador disfrazado de estación de carga, capaz de adoptar múltiples roles: teclado USB, ordenador (host USB) y teclado Bluetooth. Esta capacidad de camuflaje engaña al teléfono inteligente con facilidad.

Al establecer la conexión, el microordenador malicioso simula ser un teclado USB que introduce comandos para activar el Bluetooth y enlazarse con un supuesto teclado externo. Pero, en realidad, se trata del mismo dispositivo fraudulento que, tras establecer esta conexión, vuelve a adoptar la apariencia de un ordenador a través del USB. En ese momento, el teléfono solicita al usuario permiso para la transferencia de datos, y el engaño se completa cuando el dispositivo confirma la autorización mediante una simulación de pulsaciones enviadas por Bluetooth.

El segundo enfoque, exclusivo para Android, no requiere conexión por Bluetooth, lo que lo hace más sencillo pero igualmente eficaz. En este caso, la estación maliciosa se presenta inicialmente como un teclado USB y envía una ráfaga de pulsaciones que saturan el sistema del teléfono.

Aprovechando esa confusión, el dispositivo se desconecta y reconecta como un ordenador. En el momento en que el sistema solicita al usuario que seleccione el tipo de conexión, se reproduce automáticamente la secuencia almacenada en el búfer (espacio de almacenamiento temporal para datos) de entrada, que aprueba la conexión en modo de transferencia de datos sin intervención consciente del usuario.

Por último, el tercer método también se dirige a dispositivos Android y se basa en fallos comunes en la implementación del protocolo AOAP (Android Open Accessory Protocol). El dispositivo malicioso se conecta directamente como ordenador y, cuando se despliega la ventana de confirmación, introduce las pulsaciones necesarias para habilitar el modo de transferencia.

Aunque este tipo de conexión no debería funcionar en paralelo con el modo host USB, en la práctica, muchos teléfonos ignoran esta limitación, lo que permite que el ataque se ejecute sin obstáculos.

¿Qué medidas debería tomar para estar seguro?

Aunque las autoridades han emitido advertencias ocasionales sobre el riesgo de robo de datos mediante conexiones USB, no existen registros públicos de ataques reales llevados a cabo de esta forma.

Esto no significa que nunca hayan ocurrido, pero sí indica que no se trata de una amenaza extendida o frecuente en la vida cotidiana. A pesar de ello, mantenerse informado y tomar precauciones sigue siendo esencial, especialmente en contextos de viaje o en lugares con estaciones de carga públicas.

Para reducir el riesgo, expertos de Kaspersky recomiendan utilizar siempre cargadores personales o bancos de energía confiables. También existen adaptadores conocidos como bloqueadores de datos USB —popularmente llamados “condones USB”— que permiten el paso de energía, pero bloquean cualquier intento de transferencia de datos. Aunque efectivos, estos dispositivos pueden afectar la velocidad de carga en modelos recientes de teléfonos.

Otra alternativa es emplear cables de solo carga, que no transmiten datos, aunque deben ser verificados previamente en un ordenador seguro. Finalmente, mantener el sistema operativo actualizado y estar atento a cualquier mensaje inusual al conectar el teléfono son medidas clave para evitar sorpresas indeseadas.