Parece un cable USB-C a Lightning normal. Se puede utilizar para cargar y sincronizar los AirPods, el iPad o el iPhone. También permite conectar un teclado a un ordenador. Sin embargo, no se trata de un accesorio original. Es un producto infectado que registra todo lo que el usuario escribe y lo envía de forma inalámbrica a un atacante.

No es la primera vez que aparece uno de estos dispositivos. El investigador de ciberseguridad Mike Grover, conocido como "MG", presentó sus primeros cables Lightning modificados en 2019 y más tarde se asoció con Hak5 para producirlos en masa, una situación que dejó en evidencia los peligros de utilizar accesorios no confiables.

El Cable OMG cuenta con modificaciones internas que lo convierten en un dispositivo malicioso, pero físicamente es idéntico a uno original de Apple. Según explica Vice, un chip añadido ocupa aproximadamente la mitad del espacio disponible en la diminuta carcasa de plástico del lado del conector USB-C.

Un cable Lightning poco inocente

Lightning
Crédito: Vice

La incorporación del componente malicioso en un tamaño tan reducido fue todo un desafío para el creador del cable. "Hubo personas que dijeron que los cables USB-C estaban a salvo de este tipo de implante porque no hay suficiente espacio, así que, claramente, tuve que demostrar que estaban equivocadas", dijo MG.

A diferencia del accesorio malicioso creado hace dos años, que era Lightning a USB-A, el nuevo dispositivo es USB-C a Lightning y registra todas las pulsaciones de un teclado conectado a través de él a un PC, Mac, iPad, iPhone. El atacante puede conectarse a un punto de acceso Wi-Fi y acceder a los datos robados.

Por si esto fuese poco, el cable Lightning a USB-C cuenta con una función que permite ejecutar otro tipo de maniobras maliciosas. Por ejemplo, la posibilidad de ejecutar comandos en el ordenador, cambiar las asignaciones de teclas, y falsificar la identidad de un dispositivo USB.

El Cable OMG también está diseñado, según su creador, para no dejar rastros de su acción, Por lo tanto, puede ser programado para "autodestruirse" en cualquier momento. Es decir, todos los datos almacenados se borran. El dispositivo malicioso se vende en internet a un precio aproximado de 119 dólares.