Una mañana de un día cualquiera, una sala de control de una central térmica, nos encontramos cómo dos operarios revisan sus monitores comprobando que todos los procesos funcionan correctamente.
Minutos más tarde algo ocurre. Ambos técnicos empiezan a ver cómo sus pantallas se llenan de testigos rojos y alarmas. Se miran entre ellos desconcertados por lo que está pasando. Desde sus terminales intentan corregir todas las alarmas, pero no pueden hacer nada, algo les bloquea.
Uno de los operarios coge el teléfono y llama a su superior. Ante la situación, el superior ordena que detengan todos los procesos de forma manual dejando la central térmica parada.
Después de un par de días los investigadores del incidente llegan a la conclusión de que los problemas fueron causados por un malware. Y aquí empiezan las preguntas. ¿Cómo es posible introducir un malware en un ambiente aislado con su propia red?
Uno de los posibles culpables son los "BAD USB". Son dispositivos con aspecto de memoria usb pero que en realidad funcionan como un dispositivo HID (Human Interface Device). Es decir, el sistema donde los conectemos los reconocerá como un teclado o ratón, lo que nos permitiría controlarlo de una manera automatizada sin que los sistemas de seguridad habituales sospechen nada extraño.
Existen variaciones de este tipo de dispositivos. Nos encontramos Bad USB sin memoria de almacenamiento, que únicamente nos servirán para inyectar órdenes, pero no para exfiltrar información.
En el caso de que quisiéramos exfiltrar información o realizar la carga de un malware en un ambiente aislado disponemos de Bad USB con su propia memoria interna.
Cada vez más se recela de estos dispositivos pues ya empiezan a ser conocidos. Por tanto, se busca la mejor manera de esconderlos.
Para estos casos tenemos Bad USBs en formato cable. Funcionan como un cable estándar USB, que permite cargar la batería y transmitir datos entre dispositivos. Pero también pueden esconder un Bad USB en sus tripas, e incluso en algunos casos cuentan con Bluetooth que nos permite activar su "parte mala" (payload) a distancia.
Otra variación de estos Bad USB son los que cuentan con un módulo para una tarjeta SIM, lo que nos permitiría tomar el control del dispositivo USB aún a mayor distancia por medio de mensajes de Texto (SMS). Estos últimos incluso pueden llegar a estar escondidos dentro de un teclado o ratón dificultando drásticamente su detección a simple vista.
¿Y que pasa cuando tenemos una red conectada a internet? Las oportunidades se multiplican. Aparte de los Bad USB existen otras herramientas que nos permiten, entre otras cosas, acceder de forma remota, capturar tráfico de la red donde tenemos implantado el dispositivo, conexión con una VPN para evitar ser detectado, lanzar escaneos de red, etc... Estos dispositivos se pueden adjuntar a cualquier otro de la red que tenga una conexión por cable.
Como conclusión, nada es 100% seguro, se necesitan aplicar políticas restrictivas ante el uso de dispositivos USB (Formato USB y Cable), tanto en entornos aislados como en entornos conectados a Internet, incluso inspecciones visuales cada cierto tiempo para evitar la colocación de estos dispositivos en nuestra red.