En los tiempos en que estamos, parece que ningún tipo de dispositivo electrónico está a salvo de ser usado de forma fraudulenta y con motivos muy diferentes para los que fue diseñado. Hasta un vapeador puede ser usado por un hacker como herramienta de pirateo. Y aunque suene a chiste, su ataque es tan destructivo como el que generaría otros métodos tipo ataques DDoS de denegación de servicios, malware de tipo ransomware como el destructor Wannacry, virus, Phishing, troyanos, keyloggers, etc.
¿Te está espiando Facebook por la webcam? Esta patente dice que sí
Hackeo por Vapeo
Sorry if I get vape pens banned at your work place…… pic.twitter.com/VYhIIvyDEx
— Wll buy derby ticket (@FourOctets) 25 de mayo de 2017
El cigarrillo eléctrico o cigarro electrónico (también llamado «vaporizador», «vapeador», eCig o eCigar) es un sistema electrónico inhalador diseñado en su origen para simular y sustituir el consumo de tabaco. Estos dispositivos utilizan una resistencia y batería para calentar y vaporizar una solución líquida. La solución líquida (llamada líquido de vapeo o ‘e-Liquid’) puede o no contener aromas y nicotina líquida. Los hay de muchos tipos, muchos de ellos con batería que puede cargarse a través de un cable con un extremo para el vapeador y otro de salida USB, o directamente que traen la salida USB incorporada, permitiendo que los carguemos al conectarlos a un ordenador. Y este gesto que hacemos varias veces a la semana con varios aparatos es el que puede causar el desastre.
¿Historias de espías y conspiraciones? No, hechos contrastados como la presentación en el evento BSides London del experto de seguridad Ross Bevington dejó claro.
Sólo hace falta manipular el aparato para convertirlo en un dispositivo hackeador con forma de cigarrillo electrónico. De hecho un hacker y experto en seguridad que en las redes se hace llamara FourOctets, hizo una demostración en directo recogida por una cadena de TV. Al conectar el vapeador por el USB al PC, de repente apareció un mensaje en pantalla diciendo en clave de cachondeo “DO U EVEN VAPE BRO!!!!”, y con esto consiguió hackear el PC. ¿Cómo? El dispositivo vapeador ya manipulado, al conectarlo al ordenador, le envió un comando.
Hackeo manual
Obviamente hablamos de aparatos no inteligentes, que no están diseñados para eso, por lo que el hacker le puso un chip que le permitió comunicar el cigarrillo electrónico con el PC como si fuera un dispositivo Plug & Play normal tipo ratón, teclado o un pad de control. Un script guardado en el chip del vapeador envió la orden a Windows de que abriera un mensaje usando la aplicación Notepad. Y cuando ya tenía la comunicación establecida, el vapeador empezó a enviar al sistema comandos arbitrarios.
Para la demostración, FourOctects simplemente mostró un mensaje en pantalla, pero según el experto, el script contenido en el chip puede ser modificado para contener un código malicioso mucho más destructivo, aunque no tanto como un Wannacry puesto que la limitación del espacio en el propio vaporizador es muy pequeña y no permitiría un ransomware de este calibre -Wannacry pesa unos 4-5MB, demasiado para llevarlo en un vapeador. Esto limita su uso, pero aún así queda demostrado que no nos podemos fiar ni de un cigarrillo electrónico en cuanto a enchufarlo a un PC.