El metro de Madrid tuvo una idea adorable: instalar puertos USB en los vagones para que puedas cargar tu teléfono durante el trayecto. El cartel azul anuncia orgulloso «Este tren es tu cargador». Qué majo, ¿no?
Tu CISO acaba de derramar el café.
Porque conectar tu teléfono a un puerto USB desconocido es un poco como aceptar un pendrive encontrado en un aparcamiento. Todos sabemos que es mala idea, y sin embargo… una batería al 4% tiene un poder de persuasión extraordinario.
¿Qué es exactamente el juice jacking?
El juice jacking explota un detalle técnico que mucha gente ignora: un cable USB transporta tanto corriente como datos. Cuando conectas tu teléfono a un punto de carga público comprometido, abres potencialmente una autopista bidireccional hacia tu dispositivo.
Un atacante que haya modificado el puerto puede, según el nivel de sofisticación, extraer tus contactos, fotos, archivos, tokens de autenticación, o directamente instalar malware en segundo plano mientras miras pasar las estaciones. Todo en silencio. En menos de 3 minutos.
La amenaza es lo suficientemente seria como para que tanto la FCC (Comisión Federal de Comunicaciones) como el FBI hayan publicado alertas oficiales. El OWASP Mobile Top 10 también incluye este vector de ataque entre los riesgos móviles más frecuentes. Y el INCIBE (Instituto Nacional de Ciberseguridad de España) ha publicado específicamente sobre este riesgo. No es teoría.
Pero el metro de Madrid es oficial, ¿no?
Sí. Y eso es precisamente lo que lo hace interesante.
Una infraestructura oficial comprometida es mucho más peligrosa que un terminal falso colocado en un pasillo sospechoso. ¿Por qué? Porque bajas la guardia. Confías en el logo de Metro. No miras dos veces el puerto USB.
La cadena de seguridad de una red de transporte público en torno al mantenimiento de cada puerto USB de cada vagón es… digamos que no es su prioridad número uno. Entre mantener los trenes funcionando y auditar los puertos USB, la elección está clara. Un atacante paciente lo sabe perfectamente.
Buenos hábitos, sin volverse paranoico
Cable solo de carga: existen cables USB que solo transportan corriente, sin datos. Cuestan una miseria. Tu responsable de seguridad te lo agradecerá.
Condón USB: sí, así se llama. Es un pequeño adaptador que bloquea físicamente los pines de datos. Eficaz, discreto, fácil de llevar en el bolso.
Batería externa: la solución más simple y limpia. Cargas desde tu propia fuente, punto final. Cero interacción con infraestructura pública.
Modo confianza: en iOS y Android, cuando conectas un cable a un puerto nuevo, el teléfono pregunta si confías en el dispositivo. La respuesta correcta en un metro es no.
No es paranoia, es higiene digital
El metro de Madrid hizo bien en instalar estos puertos. Es un servicio real. Pero entre una buena intención y una infraestructura auditada regularmente en materia de seguridad, hay un abismo que nadie mide realmente.
Así que disfruta del trayecto. Admira la arquitectura de las estaciones. Pero guarda tu cable de solo carga en el bolsillo.