La semana pasada, Spotify envió una serie de unidades USB a los periodistas con una nota: "Juega conmigo".
No es raro que los reporteros reciban unidades USB en la publicación. Las empresas distribuyen unidades USB todo el tiempo, incluso en conferencias tecnológicas, que a menudo contienen materiales promocionales o archivos grandes, como videos que de otro modo serían difíciles de obtener en la mayor cantidad de manos posible.
Pero cualquier persona con capacitación básica en seguridad, que aquí en TechCrunch hacemos, sabrá que nunca debe enchufar una unidad USB sin tomar primero algunas precauciones.
Preocupados pero sin inmutarse, examinamos de forma segura el contenido de la unidad utilizando una versión desechable de Ubuntu Linux (utilizando un CD en vivo) en una computadora de repuesto. Examinamos el disco y descubrimos que era benigno.
En el disco había un solo archivo de audio. "Este es Alex Goldman, y acaban de hackearlo", reproducía el archivo.
La unidad fue solo una promoción para un nuevo podcast de Spotify. Porque por supuesto que lo fue.
La unidad USB que Spotify envió a los periodistas. (Imagen: TechCrunch)
Jake Williams, un ex pirata informático de la NSA y fundador de Rendition Infosec, calificó la medida como "sorprendentemente sorda" para alentar a los periodistas a conectar las unidades a sus computadoras.
Las unidades USB no son intrínsecamente maliciosas, pero se sabe que se usan en campañas de piratería, como plantas de energía y plantas de enriquecimiento nuclear – que normalmente no están conectados a internet. Williams dijo que las unidades USB pueden albergar malware que puede abrir e instalar puertas traseras en la computadora de la víctima.
"Los archivos en el propio USB pueden contener contenido activo", dijo, que cuando se abre puede explotar un error en un dispositivo afectado.
Un portavoz de Spotify no hizo comentarios. En cambio, pasó nuestra solicitud a Sunshine Sachs, una firma de relaciones públicas que trabaja para Spotify, que no hizo comentarios sobre el registro más allá de que "todos los reporteros recibieron un correo electrónico indicando que esto estaba en camino".
Enchufar unidades USB aleatorias es un problema mayor de lo que piensas Elie Bursztein, un investigador de seguridad de Google, descubrió en su propia investigación que aproximadamente la mitad de todas las personas enchufarán unidades USB aleatorias en su computadora.
A principios de este año, John Deere causó un alboroto después de que distribuyó una campaña de promoción que activamente secuestrado el teclado de la computadora. La unidad contenía código que, cuando se enchufaba, ejecutaba un script, abría el navegador y escribía automáticamente en el sitio web de la empresa. A pesar de que el disco no era inherentemente malicioso, el movimiento fue muy criticado ya que el malware a menudo actúa de forma automatizada y programada.
Dadas las amenazas que pueden representar las unidades USB, la división de seguridad cibernética de Homeland Security, CISA el mes pasado actualizó su guía sobre la seguridad de la unidad USB. Los periodistas son algunos de los objetivos frecuentes de algunos gobiernos, incluidos ataques cibernéticos dirigidos.
Recuerde: siempre tome precauciones cuando maneje unidades USB. Y nunca conecte uno a menos que confíe en él.