Conectar tu móvil a cargadores USB públicos nunca ha sido 100% seguro, pero ahora llega una nueva amenaza: el choicejacking

Lo que comenzó como una simple comodidad —tener la opción de conectar el móvil a una tiempo de carga USB pública en aeropuertos, estaciones o cafeterías— se ha convertido en un peligro de seguridad creciente. Desde hace abriles, expertos han preparado sobre el juice jacking, una técnica que utiliza estos cargadores para robar datos o instalar malware en dispositivos móviles.

Pero ahora, una amenaza más sofisticada y sigilosa ha irrumpido en ámbito: el choicejacking. Esta nueva técnica no necesita convencer al agraciado para que acepte una transferencia de datos, y siquiera requiere que el teléfono esté desbloqueado. 

Se limita a llevar a cabo en milisegundos, por debajo del borde de la percepción humana. Y lo hace de forma tan precisa que puede eludir los controles de seguridad más recientes de Android y iOS.

Una proceso del robo digital silencioso

Durante abriles, el juice jacking ha sido más una amenaza teórica que positivo: pese a la amenaza, no se han registrado ataques masivos. Sin incautación, el choicejacking, detectado por primera vez en julio de este año, ha encendido las alertas de compañías como Kaspersky, y ha motivado advertencias públicas de organismos como la Despacho de Seguridad en el Transporte (TSA) de Estados Unidos.

El problema es que esta amenaza funciona simulando interacciones humanas: en menos de 133 milisegundos, la tiempo de carga maliciosa puede inyectar comandos que autorizan la transferencia de datos sin que el agraciado lo advierta. En la experiencia, es como si el teléfono hubiera recibido una orden invisible para destapar la puerta a los atacantes.

Así opera el choicejacking

Investigadores de la Universidad Técnica de Graz han descrito con detalle cómo funciona esta técnica: el cargador comprometido se presenta delante el móvil como un teclado o ratón USB, y simula una serie de acciones que desbloquean permisos críticos. En algunos casos, logra incluso activar el modo de transferencia de archivos automáticamente, sin intervención del propietario del dispositivo. Según explica Dmitry Galov, investigador de Kaspersky,

"La sofisticación de este ataque hace que no necesite ingeniería social ni fallos de hardware. Solo requiere que conectes tu móvil a un puerto solapado. Y si eso ocurre, podrías estar regalando tus datos personales, contraseñas o credenciales bancarias sin saberlo".

En Android, la técnica explota lagunas en el protocolo AOAP (Android Open Accessory Protocol), mientras que en iOS se aprovecha de pequeñas ventanas de tiempo en las que el sistema aún no ha preciso autenticación biométrica o por PIN.

El peligro es especialmente elevado en dispositivos con interfaces personalizadas como One UI (Samsung), donde algunos ajustes de seguridad no están activados por defecto. Aunque tanto Apple como Google han decidido parches en iOS 18.4 y Android 15 para mitigar esta amenaza, la protección depende en gran medida del fabricante y del maniquí específico del terminal.

Por ahora, siquiera hay evidencia de que el choicejacking haya sido utilizado en ataques dirigidos a gran escalera. Sin incautación, su mera existencia plantea serias dudas sobre la confianza que los usuarios depositan en infraestructuras de carga públicas.

Recomendaciones para defenderse

Expertos coinciden en que la mejor defensa es la prevención. Estas son algunas recomendaciones secreto:

• Evite los cargadores públicos USB siempre que sea posible. En su zona, utilice adaptadores propios conectados directamente a enchufes de corriente.
• Utilice cables de carga que no transfieran datos o dispositivos conocidos como "condones USB", que bloquean la tendencia de datos.

• Cargue su dispositivo mediante baterías portátiles o cargadores solares si va a acontecer tiempo fuera de casa o de la oficina.
• Mantenga su sistema activo actualizado, ya que las últimas versiones de Android e iOS incorporan medidas de mitigación frente al choicejacking.
• No confíe en estaciones de carga que no sean de proveedores oficiales o que estén instaladas en lugares sin supervisión.

El futuro de la ciberseguridad móvil

El auge del choicejacking marca un nuevo punto de inflexión en la seguridad digital cotidiana. Si adecuadamente los fabricantes están acelerando sus respuestas con nuevas capas de autenticación, el desafío sigue siendo enorme: cualquier punto de contacto entre el agraciado y una infraestructura desconocida —sea un puerto USB, una red Wi-Fi o incluso un simple código QR— puede convertirse en una vía de ataque.

Y, como siempre, el conexión más débil sigue siendo el mismo: la confianza del agraciado en que mínimo puede acontecer mientras el móvil se carga.

Imagen | Marcos Merino mediante IA

En Genbeta |  Cuando hasta conectarse al WiFi de Starbucks es un peligro de que te usen para perforar critpomonedas