- El choicejacking fuerza la transferencia de datos sin permiso del usuario al conectar el móvil a un puerto USB público.
- Evade las defensas MTP/PTP simulando periféricos USB/Bluetooth y ejecuta la intrusión en unos 133 ms.
- Afecta a Android e iOS; hay parches y mitigaciones, pero su eficacia depende del modelo y fabricante.
- Para protegerse: evitar puertos USB públicos, usar enchufe de pared, power bank y cables que bloquean datos.
Conectar el teléfono a un puerto USB público puede parecer inofensivo, pero cada vez más investigaciones demuestran que es un punto crítico de exposición. En ese escenario ha aparecido un nuevo vector de ataque llamado «choicejacking» que pone el foco en cómo se gestionan las conexiones entre el móvil y las estaciones de carga ajenas. El riesgo de choicejacking aumenta si no se toman las medidas preventivas adecuadas.
Durante años, los fabricantes reforzaron sus plataformas para frenar el «juicejacking» (detectado en 2011), un viejo intento de robo de datos a través de cargadores manipulados. Sin embargo, han surgido tácticas para esquivar esas barreras, y el choicejacking es la más reciente y preocupante por su rapidez y discreción.
¿Qué es el choicejacking y cómo funciona?
El choicejacking describe una situación en la que un dispositivo malicioso camuflado como estación de carga manipula al teléfono para activar el modo de transferencia de datos sin que el propietario lo autorice. De esta manera, la estación obtiene acceso a contenido sensible como fotos, documentos o contactos, incluso sin que el dispositivo esté desbloqueado en determinados escenarios.
Expertos en ciberseguridad advierten que esta amenaza explota la confianza del usuario en la rutina de “conectar y cargar”. Según asesores como Adrianus Warmenhoven (NordVPN), el ataque induce decisiones no previstas por la persona y puede desembocar tanto en extracción de información como en la instalación de código malicioso.
De «juicejacking» a «choicejacking»: defensas y su bypass
Para mitigar el juicejacking, los sistemas operativos establecieron avisos cuando un teléfono se conecta a un equipo compatible con MTP o PTP: el usuario elige entre «solo cargar» o «permitir transferencia de datos». Esa confirmación manual era la línea de defensa principal ante equipos disfrazados de cargadores.
Investigadores de la Graz University of Technology (Austria) han documentado cierres en falso de esa puerta. Concretamente, describen cómo una estación manipulada puede empujar al dispositivo a aceptar modos de datos sin intervención mediante un conjunto de técnicas de emulación y abuso de protocolos.
Cómo logra evadir las defensas
La estación maliciosa puede hacerse pasar por un periférico USB o Bluetooth (como teclado o ratón) e inyectar secuencias de pulsaciones, forzar ventanas de depuración o aprovechar desbordamientos de entrada y fallos de negociación de protocolos. El proceso llega a completarse en torno a 133 milisegundos, una fracción de segundo imperceptible en la práctica.
El alcance ataca tanto a Android como a iOS, con matices. En Android, el vector puede apoyarse en lagunas del protocolo AOAP (Android Open Accessory). En iOS, se aprovechan pequeñas ventanas temporales previas a la exigencia de autenticación (biométrica o PIN). Algunas capas de personalización del fabricante, como ciertas opciones en One UI, podrían aumentar la superficie si no están bien configuradas por defecto.
Estado de la amenaza y avisos recientes
El método se ha analizado en laboratorios y ha motivado alertas de firmas de seguridad. Se han emitido avisos públicos y recomendaciones de buenas prácticas para viajeros y usuarios de espacios con puertos USB compartidos. Hasta la fecha, no hay evidencia de campañas masivas, pero el riesgo potencial ha llevado a acelerar medidas preventivas.
Tanto Apple como Google han desplegado parches y mitigaciones recientes (por ejemplo, en iOS 18.4 y Android 15), aunque la protección efectiva varía según modelo, fabricante y versión. Por ello, la actualización y la configuración adecuada siguen siendo clave para evitar ataques de choicejacking.
Consejos para evitar el choicejacking
- Evita los puertos USB públicos (aeropuertos, hoteles, estaciones, cafeterías) siempre que sea posible.
- Usa un enchufe de pared con tu propio adaptador y tu cable personal; desconfía de cables ajenos o desconocidos.
- Lleva una batería externa (power bank) para reducir la dependencia de infraestructuras externas.
- En Android, activa el modo «Solo carga» y revisa los permisos de conexión USB.
- Emplea cables de solo carga o bloqueadores de datos USB («USB data blockers») cuando cargues fuera de casa.
- Mantén el sistema y los parches actualizado en tu móvil y aplicaciones.
- Evita que el teléfono baje por debajo del 10% de batería con frecuencia para reducir emergencias de última hora.
- Desactiva la depuración USB salvo en caso de necesidad y exige bloqueo para transferir datos cuando el sistema lo permita.
El avance del choicejacking evidencia que la seguridad móvil requiere atención constante: mientras llegan mejoras de plataforma y parches, la prevención y los buenos hábitos al cargar el móvil fuera de casa influyen decisivamente en la protección contra posibles ataques.
