Nuevo ataque de Choicejacking roba datos de teléfonos a través de cargadores públicos

Si pensabas que usar un cargador de teléfono público era seguro, es hora de cambiar de opinión. A pesar de años de actualizaciones para proteger los smartphones de ataques de "juice jacking" , investigadores de ciberseguridad han identificado una nueva amenaza que evade precisamente esas protecciones.

Un nuevo estudio describe cómo los atacantes ahora están usando un método llamado Choicejacking para explotar los teléfonos inteligentes y otorgar acceso no autorizado, a menudo sin que el usuario se dé cuenta de lo que sucedió.

El robo de datos acaparó titulares por primera vez hace más de una década, cuando hackers usaron estaciones de carga infectadas para robar datos o inyectar malware en teléfonos conectados. En respuesta, los sistemas operativos de smartphones comenzaron a exigir a los usuarios que aprobaran cualquier transferencia de datos cuando un dispositivo se conectaba a un puerto desconocido. Este cambio les dio la opción de elegir "solo carga" o permitir el acceso a archivos.

Pero investigadores de la Universidad Tecnológica de Graz, Austria, han encontrado una manera (PDF) de eludir por completo esos avisos de seguridad. La técnica engaña a los teléfonos haciéndoles creer que el usuario ha permitido la transferencia de datos, incluso sin tocar la pantalla.

En lugar de usar malware tradicional, este ataque falsifica dispositivos de entrada USB o Bluetooth para simular acciones del usuario. Una estación de carga maliciosa podría simular entradas de teclado, desbordar los búferes de entrada o abusar de los protocolos de comunicación del dispositivo para cambiar silenciosamente el teléfono al modo de transferencia de datos o de depuración.

Todo el proceso tarda menos de 133 milisegundos. Es más rápido que un pestañeo, lo que significa que el teléfono reacciona incluso antes de que te des cuenta.

Adrianus Warmenhoven , asesor de ciberseguridad de NordVPN, afirmó que el peligro reside en la ilusión de control. «El secuestro de decisiones es particularmente peligroso porque manipula un dispositivo para que tome decisiones que los usuarios nunca pretendieron, sin que se den cuenta», explicó.

Una vez que se concede el acceso, el atacante puede examinar fotos, leer mensajes o instalar software malicioso de forma silenciosa.

El auge del choicejacking refuerza lo que los expertos en ciberseguridad llevan años diciendo: no se debe confiar en los puertos USB públicos. Incluso en aeropuertos, hoteles o cafeterías, un cargador comprometido podría estar esperando para secuestrar tu dispositivo.

Warmenhoven añade: “Con un solo mensaje engañoso, los atacantes pueden engañar a las personas para que habiliten la transferencia de datos, exponiendo potencialmente archivos personales y otros datos confidenciales”.

Esta advertencia aplica tanto a usuarios de Android como de iOS. Si bien algunas plataformas ofrecen avisos más visibles o configuraciones de solo carga, las vulnerabilidades subyacentes persisten y los atacantes siempre buscan maneras de sortearlas.

Si bien la técnica Choicejacking se detalló en un artículo de investigación, fue aceptada para su presentación en el 34º Simposio de Seguridad USENIX , que tendrá lugar en agosto de 2025.

Sin embargo, los investigadores sugieren mantener actualizado el software del teléfono y evitar puertos de carga desconocidos siempre que sea posible. También es útil estar preparado. Llevar una batería externa portátil es una de las maneras más fáciles de mantener el control mientras estás fuera. Si necesitas enchufarlo, intenta usar un enchufe de pared con tu propio cable y adaptador en lugar de un puerto USB público, especialmente los que parecen sospechosos o demasiado complejos.

Algunos dispositivos permiten seleccionar el modo "solo carga", que impide la transferencia de datos. Actívalo si está disponible. Aunque los atacantes siguen encontrando nuevas estrategias, ser precavido e informado puede ayudarte a mantenerte a la vanguardia.