¿Quién no ha usado un pendrive? ¿Y un disco USB? ¿Y un teclado USB? Los usuarios intercambian información a través de dispositivos USB con total tranquilidad, y aunque sepamos que suelen tener algún tipo de malware en su interior suele ser detectable y requiere la acción del usuario. Hasta hoy. El riego es mucho mayor de lo que imaginan: no es el virus que porta la memoria USB, será el USB en sí.

Hace apenas unos meses, Karsten Nohl y Jakob Lell anunciaron el descubrimiento de una brecha de seguridad del USB enorme que denominaron BadUSB —muy ingenioso, sí— permitiendo que los atacantes pudiesen infectar con malware el ordenador sin forma posible de ser detectado. Lo peor de todo es que no hay una solución que lo arregle, ni la habrá a corto plazo. La buena noticia era que Nohl y Lell no habían publicado el código para que la industria pudiese "prepararse" ante esta catástrofe. Pero alguien se ha adelantado.

En una conferencia en la DerbyCon Adam Caudill y Branson Wilson han anunciado la realización de ingeniería inversa al BadUsb que Nohl y Lell no compartieron por motivos obvios de seguridad. Adam y Branson no han tardado en hacer público el código en GitHub, demostrando ademas varios usos del mismo, que básicamente son exploits como obtener el input del teclado. Según Caudill, el motivo de la publicación del código es presionar a la industria para que arreglen el fallo de seguridad del USB según reporta Wired.

La gravedad del BadUsb no son las posibilidades de compromiso, esas llevan siendo las mismas desde la creación de los ordenadores personales, es la imposibilidad de detección de la misma. El BadUsb reprograma el firmware del dispositivo y ejecuta acciones con el permiso del usuario logeado que conecta el USB. Además no tiene por qué ser una memoria USB, puede ser un teclado por ejemplo, por lo que las posibilidades de riesgo se elevan exponencialmente.

No debes alarmarte, el USB siempre ha sido inseguro. Pero espero que sirva de recordatorio: un USB que entra a tu ordenador es como un desconocido que entra en tu casa. Usa sólo USB de los que sepas su procedencia, es el mejor remedio a los fallos de seguridad del USB.