Lo que comenzó como una simple comodidad —tener la opción de conectar el móvil a una estación de carga USB pública en aeropuertos, estaciones o cafeterías— se ha convertido en un riesgo de seguridad creciente. Desde hace años, expertos han advertido sobre el juice jacking, una técnica que utiliza estos cargadores para robar datos o instalar malware en dispositivos móviles.
Pero ahora, una amenaza más sofisticada y sigilosa ha irrumpido en escena: el choicejacking. Esta nueva técnica no necesita convencer al usuario para que acepte una transferencia de datos, y tampoco requiere que el teléfono esté desbloqueado.
Se limita a actuar en milisegundos, por debajo del umbral de la percepción humana. Y lo hace de forma tan precisa que puede eludir los controles de seguridad más recientes de Android y iOS.
Una evolución del robo digital silencioso
Durante años, el juice jacking ha sido más una amenaza teórica que real: pese a la alarma, no se han registrado ataques masivos. Sin embargo, el choicejacking, detectado por primera vez en julio de este año, ha encendido las alertas de compañías como Kaspersky, y ha motivado advertencias públicas de organismos como la Administración de Seguridad en el Transporte (TSA) de Estados Unidos.
El problema es que esta amenaza funciona simulando interacciones humanas: en menos de 133 milisegundos, la estación de carga maliciosa puede inyectar comandos que autorizan la transferencia de datos sin que el usuario lo advierta. En la práctica, es como si el teléfono hubiera recibido una orden invisible para abrir la puerta a los atacantes.
Así opera el choicejacking
Investigadores de la Universidad Técnica de Graz han descrito con detalle cómo funciona esta técnica: el cargador comprometido se presenta ante el móvil como un teclado o ratón USB, y simula una serie de acciones que desbloquean permisos críticos. En algunos casos, logra incluso activar el modo de transferencia de archivos automáticamente, sin intervención del propietario del dispositivo. Según explica Dmitry Galov, investigador de Kaspersky,
«La sofisticación de este ataque hace que no necesite ingeniería social ni fallos de hardware. Solo requiere que conectes tu móvil a un puerto malicioso. Y si eso ocurre, podrías estar regalando tus datos personales, contraseñas o credenciales bancarias sin saberlo».
En Android, la técnica explota lagunas en el protocolo AOAP (Android Open Accessory Protocol), mientras que en iOS se aprovecha de pequeñas ventanas de tiempo en las que el sistema aún no ha exigido autenticación biométrica o por PIN.
El riesgo es especialmente elevado en dispositivos con interfaces personalizadas como One UI (Samsung), donde algunos ajustes de seguridad no están activados por defecto. Aunque tanto Apple como Google han lanzado parches en iOS 18.4 y Android 15 para mitigar esta amenaza, la protección depende en gran medida del fabricante y del modelo específico del terminal.
Por ahora, tampoco hay evidencia de que el choicejacking haya sido utilizado en ataques dirigidos a gran escala. Sin embargo, su mera existencia plantea serias dudas sobre la confianza que los usuarios depositan en infraestructuras de carga públicas.
Recomendaciones para protegerse
Expertos coinciden en que la mejor defensa es la prevención. Estas son algunas recomendaciones clave:
- Evite los cargadores públicos USB siempre que sea posible. En su lugar, utilice adaptadores propios conectados directamente a enchufes de corriente.
- Utilice cables de carga que no transfieran datos o dispositivos conocidos como «condones USB», que bloquean la línea de datos.
- Cargue su dispositivo mediante baterías portátiles o cargadores solares si va a pasar tiempo fuera de casa o de la oficina.
- Mantenga su sistema operativo actualizado, ya que las últimas versiones de Android e iOS incorporan medidas de mitigación frente al choicejacking.
- No confíe en estaciones de carga que no sean de proveedores oficiales o que estén instaladas en lugares sin supervisión.
El futuro de la ciberseguridad móvil
El auge del choicejacking marca un nuevo punto de inflexión en la seguridad digital cotidiana. Si bien los fabricantes están acelerando sus respuestas con nuevas capas de autenticación, el desafío sigue siendo enorme: cualquier punto de contacto entre el usuario y una infraestructura desconocida —sea un puerto USB, una red Wi-Fi o incluso un simple código QR— puede convertirse en una vía de ataque.
Y, como siempre, el eslabón más débil sigue siendo el mismo: la confianza del usuario en que nada puede pasar mientras el móvil se carga.
Imagen | Marcos Merino mediante IA
En Genbeta | Cuando hasta conectarse al WiFi de Starbucks es un riesgo de que te usen para minar critpomonedas
–
La noticia
Conectar tu móvil a cargadores USB públicos nunca ha sido 100% seguro, pero ahora llega una nueva amenaza: el choicejacking
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
