Si utilizas un teclado o ratón inalámbrico, tu ordenador está en peligro

Los periféricos que venden al menos siete gigantes de la electrónica (entre ellos Amazon, HP, Lenovo, Logitech y Microsoft) son vulnerables a un nuevo ataque que permite controlar el ordenador de la víctima a distancia.

El nuevo método de intrusión, que ha sido bautizado como 'MouseJack attack', funciona con los ratones y teclados inalámbricos que utilizan radiofrecuencia. En la práctica, para entendernos, suelen ser aquellos que necesitan que insertes un pequeño receptor o 'dongle' en el puerto USB de tu ordenador.

Básicamente se refiere a todos: casi cualquier ratón o teclado inalámbrico que hayas comprado en una gran superficie o tienda de electrónica podría verse afectado. Sólo los que utilizan tecnología Bluetooth están a salvo de esta amenaza. Si quieres comprobar qué pasa con el tuyo, aquí puedes consultar la lista de todos los modelos que se han identificado hasta el momento.

“Como la conexión es inalámbrica y los movimientos del ratón y pulsaciones del teclado se mandan por el aire, es posible comprometer el ordenador de una víctima transmitiendo señales de radio especialmente diseñadas para ello”, afirman los expertos de la firma de seguridad Bastille, que han descubierto la técnica.

El atacante puede estar hasta a 100 metros de distancia y sólo necesita un pequeño dispositivo que cuesta menos de 20 euros para cometer su fechoría. Esa barata pieza de 'hardware' manda una señal al receptor de radio conectado al USB de tu ordenador haciéndose pasar por tu ratón o tu teclado inalámbrico para que acepte y ejecute sus órdenes.

“El atacante es capaz de tomar el control del ordenador objetivo, sin necesidad de estar físicamente delante, y teclear texto a voluntad o mandar comandos predefinidos”, detallan los investigadores. “Es por tanto posible llevar a cabo actividades maliciosas de forma rápida y sin ser detectado”.

Lo más peligroso de este ataque está, de hecho, en los teclados. Aunque a diferencia de lo que sucede con los ratones la información sobre las teclas que pulsas suele viajar hasta tu ordenador cifrada -para evitar que se pueda interceptar y leer lo que estás escribiendo (por ejemplo, una contraseña)-, gracias a MouseJack, un ciberdelincuente podría inyectar pulsaciones de teclas sin cifrar en el ordenador de la víctima. ¿Cómo? Suplantando al ratón.

“Se aprovecha de los 'dongles' receptores y su 'software' asociado para permitir que pulsaciones sin cifrar sean transmitidas por un atacante al sistema operativo del ordenador como si la víctima las hubiera tecleado legítimamente”, explican los 'hackers' de Bastille.

La firma de seguridad ya ha informado a los fabricantes de los dispositivos afectados que se conocen y se han publicado parches que corrigen la vulnerabilidad que hace posible MouseJack. Si tienes un teclado o un ratón inalámbrico que responde a las características descritas, dedícale unos minutos a comprobar si debe actualizarse. Un descuido te puede salir muy caro.