Aunque de hecho era algo que ya sabíamos (desde 2014 con BadUSB), pero que ahora llega a límites que no habíamos sospechado -o tal vez sólo en nuestras peores pesadillas- con USBNinja.
Este dispositivo parece y actúa como un cable USB normal y corriente con un conector microUSB, y otro USB de tipo A, como cualquiera de nosotros puede tener para recargar la batería y traspasar datos al ordenador desde el smartphone o la tablet.
Pero a diferencia de otros cables USB normales, este tiene la capacidad de activar una carga vírica en nuestro ordenador cuando alguien se lo ordena desde un smartphone vía Bluetooth, o bien desde un mando a distancia realizado exprofeso para esta aplicación. Para ello, el cable USBNinja dispone de un pequeño dispositivo Bluetooth embebido dentro que le permite recibir la orden de ataque.
La carga que el dispositivo despliega en el ordenador atacado una vez activado es personalizada, y podemos construirla nosotros mismos empleando para ello el IDE de Arduino. Al ser conectado al ordenador, el USBNinja simula el papel de un teclado o un ratón, pudiendo emular pulsaciones de teclas, movimientos del ratón, y clics con los botones.
Así que la próxima vez que alguien os diga si puede cargar su móvil conectándolo a vuestro ordenador, o que lo conectéis para porque os quiere pasar algo que tiene almacenado en él, no os fiéis ni un pelo; la amenaza ya no viene solamente del teléfono, puede venir fácilmente del cable en sí.
Además de ser adquirida en formato cable con terminación microUSB, esta también puede ser USB-C o Lightning, e incluso puede presentarse en forma de dongle USB o de placa de desarrollo. Según la opción elegida, tendremos unas formas y facilidades de programación y un precio u otro.
USBNinja se ha autofinanciado mediante una exitosa campaña de micromecenazgo en la plataforma Crowdsupply, consiguiendo en pocos días el doble de la cantidad mínima solicitada.