En las últimas semanas se han publicado en medios estadounidenses cientos de artículos advirtiendo al público no cargar sus celulares en los puertos USB de aeropuertos o de hoteles. La mayoría citan un tuit reciente del FBI, que incluye el amenazador detalle de que “agentes maliciosos han descifrado la manera de utilizar los puertos de USB públicos para introducir virus y software de vigilancia en los dispositivos.”
“El FBI lanza advertencia sobre el uso de estaciones de carga de teléfono públicas”, escribió el sitio de noticias de CNBC el pasado 10 de abril. “El FBI dice que los cargadores de teléfono públicos pueden poner en peligro sus datos: Lo que hay que saber”, escribió el Washington Post al día siguiente. Para el miércoles 12 de abril, CNN y el programa Good morning America, dominaban los encabezados de negocios en Google News con su cobertura de la amenaza, a la que muchos se refieren como juice jacking.
Para los que tendemos a encontrarnos con un celular que está a punto de morir en una situación que requiere urgentemente mantenerlo encendido, era una noticia aterradora. Sin embargo, resulta que esta estafa no sólo no va en aumento, sino que hay poca evidencia de que realmente haya representado una amenaza para el público en general. Y lo que ocurrió en realidad, según descubrí tras contactar a múltiples agencias gubernamentales en Estados Unidos, es lo siguiente: el 6 de abril, alguien de la oficina del FBI en Denver, Colorado, decidió revivir una antigua advertencia sobre el juice jacking que la Comisión Federal de Comunicaciones de Estados Unidos (FCC, por sus siglas en inglés) había publicado en su sitio web, en 2019. “Era una publicación estándar de servicio a la comunidad, nada nuevo”, me comentó por correo electrónico Vikki Migoya, vocera del FBI en Denver.
Como se trata del FBI, cientos de medios de comunicación y creadores de contenido se lo tomaron en serio y actuaron como si algo nuevo hubiese ocurrido, a pesar de que un vocero de la FCC me aseguró que no era así y dijo que la agencia estaba sorprendida por la nueva atención prestada al asunto. A pesar de ello, dado que repentinamente la FCC estaba recibiendo tantas consultas sobre el tema, decidió actualizar su página original de consejos y publicó múltiples tuits sobre la posible estafa el día 11 de abril, lo que reforzó aún más la falsa idea de que las autoridades habían descubierto una especie de nueva red de juice jacking.
En última instancia, lo que todo este escenario ofrece no es una advertencia para evitar las estaciones de carga públicas, sino un recordatorio de que las cuentas verificadas de las agencias gubernamentales en redes sociales son particularmente proclives a crear histerias colectivas infundadas.
Empecé a sospechar que esta historia era un caos exagerado cuando fui a buscar un ejemplo concreto de alguien que hubiese sido víctima del juice jacking. En TikTok encontré reportes de que “todos los ciudadanos” debían estar conscientes de que el fraude, “había ido en aumento.” La estación de radio country 106.5 WYRK, con sede en Buffalo, Nueva York, también sugirió que se trataba de un problema local particularmente grave, advirtiendo: “NO utilice cargadores USB públicos en el estado de Nueva York”. Sin embargo, en las redes sociales, los únicos testimonios en primera persona de haber sido #juicejacked involucraban a un vegano y un luchador que se había “emborrachado” con jugo real y alguien que “no podía confirmar al 100%”, pero había notado un “comportamiento extraño” en su celular.
¿Por qué no pude encontrar a ninguna persona acusada o víctima de juice jacking?, le pregunté a Andy Thompson, “evangelista de la ciberseguridad ofensiva” en CyberArk, una empresa de seguridad de la información.
“Porque no existe”, me explicó. Zulfikar Ramzan, científico en jefe de la empresa de ciberseguridad para el consumidor Aura, estuvo de acuerdo: “no existe suficiente evidencia que demuestre que el juice jacking sea un problema generalizado”, dijo, “pero sigue siendo una amenaza real a la seguridad.” De hecho, “desde una perspectiva de demostración conceptual, funciona”, me dijo Thompson. Analistas de ciberseguridad conocen de esta amenaza hipotética desde 2011, dijo, cuando estuvo en los titulares de DefCon, la convención anual de hackers de Las Vegas. Es posible, como sugiere el sitio de la FCC, que “el malware instalado a través de un puerto USB corrupto pueda bloquear un dispositivo o exportar datos personales y contraseñas directamente al ladrón”. Los criminales pueden entonces, en teoría, robar contraseñas u otros datos personales valiosos, o instalar programas de espionaje. Pero solo es considerado un método de ataque realmente deseable para los hackers si tienen como objetivo a un individuo en particular, como un ejecutivo de alto nivel, un funcionario de gobierno, un disidente político o un periodista de investigación, afirmó. En esos caso, dijo Thompson, es más común sustituir un cable de esa persona en la oficina o en otro espacio que definitivamente vaya a usar, en lugar de sabotear un puerto público. También ayuda que los nuevos Android e iPhone pregunten a los usuarios si quieren compartir sus datos o únicamente cargar su dispositivo cuando se conectan a un puerto USB configurado –de manera abierta o subrepticia– para capturar datos.
Entonces, ¿cómo llegamos al nuevo ciclo de noticias de hace unas semanas? Cuando le pregunté a la vocera del FBI en Denver si hubo algún incidente o una serie de incidentes que motivaran el tuit, se disculpó. “Lamento que no puedo darte una respuesta más interesante”, escribió. Más bien, “todo derivó de esta advertencia de la FCC” dijo, enlazando el comunicado del 2019. La razón por la cual la persona de redes sociales del FBI lo compartió es porque la agencia “provee regularmente de recordatorios y anuncios de servicio público en conjunto con nuestros socios”, escribió.
En otras palabras, parece que el FBI, al igual que muchas otras entidades en Estados Unidos, tiene la necesidad de publicar contenido, y recurre a material antiguo cuando no hay nada nuevo. Pero en lugar de adoptar la práctica de muchas organizaciones de noticias, que resaltan la fecha en que se publicó el contenido antiguo, el FBI adoptó más bien un enfoque como de cuenta de memes. No solo no había una fecha que sugiriera que se trataba de una advertencia antigua, sino que ni siquiera se molestó en enlazar a la FCC, de donde provenía la información.
Muchos medios de comunicación, ansiosos de construir una historia alrededor del tuit del FBI, se las arreglaron para encontrar la de la FCC por su cuenta. (O más bien el FBI se los envió como respuesta a la solicitud de un comentario). Sin embargo, más que quitar importancia a la historia, sirvió para reforzarla ¡No solo el FBI, también la FCC estaban advirtiendo al respecto! ¡Este fraude debe ser realmente “aterrador”, como reportó el New York Post!
Un vocero de la FCC dijo que la agencia emitió en 2019 la página original de consejos como una respuesta a quejas reales de los consumidores, pero no pudo ofrecer detalles adicionales sobre esas comunicaciones y dijo que la agencia no tenía ninguna razón para creer que la estafa hubiese aumentado en años recientes. Entre los detalles de la página de la FCC se incluye lo siguiente: “incluso ha habido informes de cables infectados que se regalaban como obsequios promocionales.” El vocero no estaba familiarizado con estos informes, pero me dirigió a un artículo del New York Times de 2019 y a una declaración de la oficina del fiscal del condado de Los Ángeles sobre la estafa. Resulta que el artículo del New York Times tampoco incluía a ninguna víctima real. Y cuando TechCrunch hizo un seguimiento con el fiscal del condado de Los Ángeles en 2019, encontró que no tiene “ningún caso” de juice jacking en sus registros, aunque la oficina del fiscal dijo que hay casos conocidos en la costa este, pero que no podía dar más detalles.
Todo esto es para decir: asegúrate de llevar siempre y en todo momento un cargador portátil completamente cargado. Compra un “condón” USB, como muchos llaman a los dispositivos de prevención de piratería informática, y considera llevar un cable que pueda enchufarse a una toma de corriente. Pero si no puedes, porque eres un ser humano normal y tu teléfono se está muriendo, es importante que sepas que probablemente no va a pasar nada si usas un puerto USB público. ~
Este artículo es publicado gracias a una colaboración de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
escribe sobre tecnología y negocios para Slate. Antes trabajó para el New York Times, NPR, Swindle magazine y washingtonpost.com.
