Está en la página 1de 37

Análisis de Dispositivos USB de Interfaz Humana utilizados para la introducción de

Payloads o el robo de datos

Carlos Wilber Franco Velasco

Monografía - Primer informe

Universidad Nacional Abierta y a Distancia “UNAD”


Escuela de Ciencias Básicas, Tecnología e Ingeniería
Curso Proyecto de Seguridad Informática II
Bogotá, Colombia
2019

1
Análisis de Dispositivos USB de interfaz humana utilizados para la introducción de
Payloads o el robo de datos

Carlos Wilber Franco Velasco

Directora de Curso:
YOLIMA MERCADO PALENCIA

Universidad Nacional Abierta y a Distancia “UNAD”


Escuela de Ciencias Básicas, Tecnología e Ingeniería
Curso Proyecto de Seguridad Informática II
Bogotá, Colombia
2019

2
RESUMEN

En el mundo tecnológico, la gran mayoría de equipos de cómputo como son las


computadoras de escritorio, equipos portátiles, teléfonos inteligentes, tabletas,
presentan la necesidad de recibir información por parte de las personas a través
de los dispositivos denominados “HID (Human InterfaceDevice)” o Dispositivos de
Interfaz Humana, estos dispositivos pueden ser teclados, el ratón, el trackball, el
touchpad, el pointingstick, la tableta gráfica, el Joystick entre otros.

Dichos dispositivos son reconocidos y aceptados de forma automática por los


sistemas operativos más usados en la actualidad como Windows, Linux, Mac OS o
Android.

Esta aceptación de la que gozan dichos dispositivos puede ser utilizada por ciber
delincuentes para la introducción de Payloads, implantación de código malicioso o
robo de información sensible, de los sistemas, emulando las mencionadas
interfaces, como por ejemplo un teclado e inyectando secuencias de texto o
comandos.

En la presente monografía se pretende realizar una investigación de los actuales


dispositivos que utilizan esta forma de ataque, sus posibilidades y la forma de
proteger las organizaciones de los ciber delincuentes que utilizan esta técnica para
cometer actividades ilícitas.

Palabras clave: Payload, HID, USB Rubber Ducky, hacking, scripting

3
ABSTRACT

In the technological world, the vast majority of computer equipment such as


desktops, laptops, smart indicators, tablets, present the need to receive information
from people through devices called "HID (Human Interface Device) "The Human
Interface devices, these devices can be keyboards, the mouse, the trackball, the
touchpad, the stick, the graphics tablet, the Joystick among others.

These devices are recognized and accepted automatically by operating systems


most commonly used today such as Windows, Linux, Mac OS or Android.

This acceptance that these devices enjoy can be used by cyber criminals for the
introduction of Payloads, implementation of malicious code, theft of sensitive
information from systems, emulating the aforementioned interfaces, such as a
keyboard and injecting text sequences the commands.

This monograph is intended to conduct an investigation of the current devices that


use this form of attack, its possibilities and how to protect the organizations of
cyber criminals who use this technique to commit illicit activities.

Keywords: Payload, HID, USB Rubber Ducky, hacking, scripting

4
TABLA DE CONTENIDO

1. Dispositivos de Interfaz Humana “HID” ..................................................................... 19


1.1 Que es un Dispositivo de Interfaz Humana “HID” .............................................. 20
1.2 Por qué los dispositivos de interfaz humana pueden ser peligrosos .................. 26
1.3 Riesgos a los que está expuesto un sistema al recibir un ataque mediante un
dispositivo HID ............................................................................................................. 27
1.3.1 Introducción De “Payloads” .............................................................................. 27
1.3.2 Puertas traseras “BackDoor”............................................................................ 28
1.3.3 Modificación, inserción, extracción o eliminación de datos............................... 28
1.3.4 Instalación de Malware .................................................................................... 29
2. Como proteger un equipo de ataques con dispositivos HID .................................... 305
3. Funcionamiento de los USB maliciosos para el robo de datos…………………………26

4. El estado actual de los dispositivos USB infectados…………………………………….27

5
INTRODUCCIÓN

Conectas un dispositivo USB de interfaz humana al pc, como ´puede ser un


teclado, un mouse o una palanca de juegos, y te das cuenta que este es
reconocidoautomáticamente y sin ningún reparo porel equipo de cómputo,este
inmediatamente lo acepta como “confiable”, y en cuestión de segundos puede ser
utilizado sin ninguna objeción.

Los dispositivos de interfaz humana (HID), utilizan el protocolo USB el cual goza
de cierta flexibilidad, dado que se encuentra recubierto de unaconfianzainherente
otorgada por los sistemas operativos Windows, Mac y Linux, dicho protocolo, en
combinación con piezas de hardware específicas, pueden ser usadas por piratas
informáticos para realizar directamente actividades maliciosas en un sistema,
como si fueran realizadas por un usuario registrado.

Si bien es cierto los dispositivos que son objetivo de este análisis, están
categorizados como HID, varían en hardware y software y el concepto general
detrás de ellos es el mismo: un dispositivo basado en USB detectado como un
HID por un sistema operativo, que luego de ser inicializado pueden enviar
cualquier combinación de pulsaciones de teclas a Velocidades sobrehumanas.

Si bien existen usos legítimos para estos dispositivos como por ejemplo la
automatización de TI, pruebas de penetración, etc. Esta monografía se enfocará
en las formas en que se pueden usar de manera malintencionada y en cómo
prevenir este tipo de ataques.

6
Los riesgos que presentan las amenazas basadas en HID son prácticamente
ilimitados. Sin embargo, es importante tener en cuenta que en la mayoría de los
casos, debido a que el teclado del usuario está siendo manipulado, las acciones
serán visibles para el usuario y se podrán interrumpir. Sin embargo, en otros
casos, a los usuarios se les da muy poca indicación de que se haya producido un
ataque, ya que se realizan de forma rápida y fuera de la pantalla, lo que permite
un tiempo mínimo de exposición o interrupción. Un signo de este tipo de ataque
es a menudo un aviso, como una notificación de que se conectó un teclado o el
destello de una ventana de PowerShell o CMD, además de esto, estos pueden
desaparecer tan rápidamente que el usuario no los conoce, y si los conoce, es
demasiado tarde para detener la amenaza.

7
PLANTEAMIENTO DEL PROBLEMA

En los últimos años, se ha evidenciado que los pendrives y 'USB malignos'


amenazan la seguridad de todos los ordenadores del mundo”1.

Existe actualmente en el mercado dispositivos USB que emulan ser un HID


(Human InterfaceDevice) o dispositivo de interfaz humana como un teclado o un
mouse, y una vez conectado al puerto USB de un computador de Escritorio,
portátil o teléfono inteligente, inyecta automáticamente comandos y líneas de
código como si se tratase de una persona que estuviera tecleando frente al
computador, pero a una velocidad de aproximadamente 1000 palabras por minuto

Mediante esta técnica se puede recolectar información del sistema, instalar


diferentes tipos de malware, extraer cookies de las sesiones abiertas, robar
contraseñas guardadas, eliminar o robar archivos etc.

Para las organizaciones esta modalidad de ataque utilizada por los ciber
delincuentes, supone una vulnerabilidad muy elevada, dado que el atacante
requiere de un periodo de tiempo muy corto para lograr su arremetida, pues con
unos pocos segundos, el dispositivo conectado físicamente y de forma sigilosa,
puede desactivar la protección antivirus del equipo, desactivar el firewall, abrir
back doors, insertar código malicioso, o extraer información del equipo.

Un ciber delincuente puede acceder a estos dispositivos adquiriéndolos mediante


la empresa “Hak 5” la cual distribuye comercialmente una versión denominada
“USB RubberDucky” por la suma de USD $ 44.99, en su página de internet
https://hakshop.com, de igual manera es posible comprar versiones genéricas
mucho más económicas denominadas “Bad USB” en páginas chinas por un valor

1 IBAÑEZ, Álvaro, Corporación de Radio y Televisión Española 2017l

8
de USD $ 4, incluso se puede encontrar en internet manuales y código fuente
para la construcción de estos dispositivos con algunas funcionalidades extras
como conexión WiFi, almacenamiento extraíble etc.

Una vez adquirido el dispositivo, por ejemplo el USB RubberDucky, el atacante


crea un script en un documento de texto y lo coloca en el RubberDucky, y al
conectarlo a un computador, este introduce las secuencias de texto como si se
tratase de una persona escribiendo mediante un teclado, a continuación se
muestra un ejemplo práctico en donde el objetivo es un equipo de cómputo con
sistema operativo Windows 7, donde se ejecuta comandos en la consola CMD
pasando por alto el UAC (Control de Cuentas de usuario) y se crea un punto de
acceso inalámbrico con el SSID “LabUNAD” con sistema de encriptación WPA
contraseña “12345678”, además de desactivar el Firewall:

CONTROL ESCAPE
DELAY 200
STRING cmd
DELAY 200
MENU
DELAY 100
STRING a
DELAY 100
LEFTARROW
ENTER
DELAY 200
STRING netshwlan set hostednetwork mode=allow ssid= LabUNAD
key=12345678
ENTER
DELAY 100
STRING netshwlan start hostednetwork
ENTER
DELAY 100

9
STRING netsh firewall set opmode disable
ENTER
STRING exit
ENTER 2

De esta manera se puede apreciar la facilidad con que un ciber delincuente


puede acceder a estos dispositivos, planear y ejecutar un ataque a una empresa,
organización, o una persona particular, con el fin de extraer información de la
víctima o implementar otro ataque más avanzado.

Por tal motivo, es necesario realizar un análisis profundo de este tipo de


dispositivos, su funcionamiento, sus posibilidades y la forma de proteger las
organizaciones de los ciber delincuentes que utilizan esta técnica para cometer
actividades ilícitas.

2KITCHEN Darren. Payload wifi backdoor –Hak5darren.

10
JUSTIFICACIÓN

Es bien sabido por las personas estudiosas de tecnología de la información y en


especial por los que aspiran ser o son Especialistas en Seguridad Informática,
que la información es el activo más importante de cualquier empresa u
organización, según la norma ISO/IEC 27001 de Gestión de la Seguridad de la
Información, se debe Identificar los riesgos en la organización 3 , y establecer
controles para gestionarlos o eliminarlos; en este trabajo de grado, partiendo de
una problemática identificada, como es la utilización de dispositivos de interfaz
Humana HID para el robo de información, se realizará un análisis profundo de la
forma en que se pueden efectuar estos ataques con dichos dispositivos, para
conocer a fondo la vulnerabilidad y lograr establecer los cursos de acción
correspondientes para minimizar el riesgo o eliminarlo.

Se efectuará una investigación profunda de la documentación existente para


comprender y analizar este vector de ataque, se observará de manera detallada
las herramientas disponibles en la actualidad y la tecnología y conocimientos
necesarios para la construcción de estos dispositivos y la ejecución de un ataque,
los alcances y posibilidades y las consecuencias para una organización.

De esta forma se logrará construir un documento que aporte información valiosa y


compilada a las personas interesadas en este tema para el mejoramiento de la
seguridad de las infraestructuras tecnológicas de una empresa u organización.

3Iso27000.es2017

11
OBJETIVO GENERAL

Analizar los dispositivos de interfaz Humana utilizados por ciber delincuentes para
la introducción de payloads y el robo de datos en equipos de cómputo, con el fin
de estableciendo y documentando mecanismos de protección.

12
OBJETIVOS ESPECÍFICOS

Determinar el funcionamiento de los distintos dispositivos de Interfaz Humana


utilizados para el robo de información e introducción de Payloads.

Establecer los riesgos a los que está expuesto un sistema al recibir un ataque por
parte de un ciber delincuente

Relacionar las actividades de prevención para evitar que una organización sea
víctima de un ataque de un ciber delincuente que utilice un Dispositivo de interfaz
Humana automatizado.

13
MARCO CONCEPTUAL Y TEÓRICO

Según informe del Centro de Estudios EY donde se realizó una encuesta de


seguridad a 1700 directivos de las principales empresas CIOs y CISOs de todo el
mundo, el 86% afirma que los mecanismos de ciber seguridad de sus empresas
aún no cumplen con los requisitos necesarios, lo que permite concluir que las
compañías no están preparadas para enfrentarse a los ciber delincuentes.

Entre las vulnerabilidades detectadas, destacan los posibles descuidos de los


empleados (55%), y el acceso sin autorización a datos e información (54%). Las
mayores amenazas para las empresas encuestadas son ataques como el
malware o software malicioso (52%) y el phishing o suplantación de identidad
(51%).4

Al hacer un análisis minucioso se puede inferir que mediante un Dispositivos de


Interfaz Humana (Human Interface Device) configurado para introducir
automáticamente líneas de código a un equipo de cómputo puede ser el artífice
de cualquiera de las vulnerabilidades enunciadas

Un dispositivo de interfaz humana o HID (Human InterfaceDevice) es un tipo de


hardware para la comunicación rápida entre humano-computadora-humano. La
creación del HID fue para simplificar la tarea de instalar nuevos dispositivos sin la
necesidad de usar drivers,5 esto es lo que comúnmente llamamos plug and play.

Esta característica de la que gozan los dispositivos de interfaz humana fue


aprovechada por los ciber delincuentes para automatizar un dispositivo USB para

4
MAESTRE, Elena, GIRALT, Manuel y MIRONES, Ramiro. "Global Information Security Survey." 2017
5 ¿Qué es el HID? - denoizer. (2017). Denoizer.com. 2017

14
que al ser introducido al puerto USB del computador, este introduzca en forma
automática líneas de código emulando ser un teclado físico, uno de los
Dispositivos más populares utilizados para este fin, es el conocido “USB
RubberDucky” desarrollado por la empresa Hak 5, según sus creadores esta es
la definición: ”es una herramienta de inyección de teclas disfrazada como una
unidad flash genérica. Las computadoras lo reconocen como un teclado normal y
aceptan automáticamente sus cargas útiles de teclado preprogramadas a más de
1000 palabras por minuto.”6

“En cuestión de segundos tendría acceso a información que se podría subir


automáticamente a un servidor FTP u otro sitio. Algo parecido a lo que se
explicaba con USB Dumper, pero al revés, es decir, en lugar de ser el servidor el
malicioso que roba los datos del USB sería USB RubberDucky el que robaría los
datos al equipo.”7

Laboratorios Controlados

Para el desarrollo de esta monografía se realizarán análisis prácticos por parte


del autor, dada la poca información existente acerca de estos dispositivos, donde
será necesario la utilización de:

Máquinas Virtuales

Se utilizarán sistemas operativos virtualizados montados en la plataforma de


virtualización virtualbox de Oracle, el cualk según los desarrolladores es el
software de virtualización multiplataforma más popular del mundo le permite
ejecutar varios sistemas operativos en su equipo Mac, PC, Linux, u Oracle
Solaris.8

USB RubberDucky

Se usará un dispositivo USB RubberDucky, o en su defecto un bad USB genérica

6 USB RubberDucky, {en linea}, 2017


7ALONSO CEBIÁN, Jose (Chema Alonso), USB RubberDucky: Un teclado malicioso como un
pendrive, UN INFORMÁTICO EN EL LADO DEL MAL2017
8 VM VirtualBox – Oracle 2017

15
fabricada por la empresa seytonic9, este dispositivo cuenta con un
microcontrolador ATmega32u4 y la librería Keyboard de Arduino.10

Lenguaje de scripting

Ducky Script es el lenguaje del USB RubberDucky. La escritura de scripts se


puede hacer desde cualquier editor de texto ascii común como Notepad, vi,
emacs, nano, gedit, kedit, TextEdit, etc.11

Posibilidades de ataque con estos dispositivos

A continuación, se enunciarán los posibles vectores de ataque que se pueden


efectuar con un dispositivo de interfaz humana malicioso:

Backdoors (Puerta trasera)

Según la empresa de seguridad informática “Symantec Corporation”, un backdoor


es una manera indocumentada de acceso a un programa, al servicio en línea o a
un equipo informático entero. Un programador que crea un programa de
amenazas escribe el código para una puerta trasera también. A menudo,
solamente el programador conoce los detalles de la puerta trasera. Una puerta
trasera es un riesgo para la seguridad potencial.12

Bombas Lógicas

Según un repositorio de la Universidad dos Universidad Nacional Autónoma de


México13, las Bombas Lógicas Son partes de código que permanecen sin realizar
ninguna función hasta que son activadas, la función que realizan no es la original
del programa, sino que generalmente se trata de una acción perjudicial.

9WiFiBadUSB- seytonic, 2017/


10Keyboardlibrary – Arduino 2017
11Duckyscript - hak5darren, 2017
12 Backdoor (Puertatrasera). Symantec.com. 2017
13 Amenazas y vulnerabilidades de la seguridad informática, Universidad Nacional Autónoma de
México, 2017

16
Exploits:

Programa o código que se aprovecha de un agujero de seguridad (vulnerabilidad)


en una aplicación o sistema, de forma que un atacante podría usarla en
subeneficio.14

Pharming

Según la Empresa kasperskyLatinoamerica el pharming es un es un tipo de ciber


crimen muy semejante al phishing, en el que el tráfico de un sitio web es
manipulado para permitir el robo de información confidencial. El pharming
aprovecha los principios con los que funciona la navegación por Internet, es decir,
la necesidad de convertir una secuencia de letras para formar una dirección de
Internet, como www.google.com, en una dirección IP por parte de un servidor
DNS para establecer la conexión. El exploit ataca este proceso de dos maneras.
En primer lugar, un ciber delincuente puede instalar un virus o un troyano en la
computadora de un usuario que cambia el archivo de hosts de la computadora
para dirigir el tráfico fuera de su objetivo previsto, hacia un sitio web falso. En
segundo lugar, el ciberdelincuente puede envenenar un servidor DNS para que
los usuarios visiten el sitio falso sin darse cuenta. Los sitios web falsos se pueden
utilizar para instalar virus o troyanos en la computadora del usuario, o pueden ser
un intento de recopilar información personal y financiera para usarla en el robo de
identidad.15

Posibles formas de protección contra estos dispositivos

Software Gratuito Beamgun

Según el experto en seguridad Informática Salvador Ruiz de “iicybersecurity” 16, es


posible proteger un sistema de un dispositivo de interfaz humana que simule ser

14
ALBORS, Jose, welivesecurity – ESET 2017
15
Qué es el pharming y cómo evitarlo? – kasperskyLatinoamerica 2017
16
RUIZ, Salvador, Instituto Internacional de Seguridad Cibernética 2017

17
un teclado, mediante el software gratuito “Beamgun”, una herramienta de
ciberseguridad. Que se inicia con el sistema operativo manteniéndose a la
escucha de los dispositivos USB que se inserten en el equipo, este se ejecuta
como un proceso de fondo.

Beamgun se encarga de bloquear la inyección de teclado, tomando


continuamente el enfoque y bloqueando la máquina. Todas las pulsaciones de
teclas se graban y se puede observar lo que el ciber delincuente estaba tratando
de hacer.

DuckHunter

DuckHunt es un script pequeño y eficiente que actúa como un “daemon” que


monitorea constantemente el uso del teclado (velocidad y ventana seleccionada)
que puede atrapar y prevenir un ataque un USB RubberDucky. (Técnicamente,
ayuda a prevenir cualquier tipo de ataque automatizado por inyección de teclas,
por lo que también se cubren las inyecciones de Mousejack) 17.

De igual manera, mediante la realización de Laboratorios Controlados, se


pretende encontrar otros métodos de protección para este tipo de vulnerabilidad.

17Duckhunting - Stopping Automated Keystroke Injection Attacks, - konukoii 2017

18
1. Dispositivos de interfaz humana“HID”

1.1 Historia de HID

La definición de HID comenzó como una clase de dispositivo a través de USB.


El objetivo en ese momento era definir un reemplazo para PS / 2 y crear una
interfaz a través de USB, permitiendo la creación de un controlador genérico para
dispositivos HID como teclados, ratones y controladores de juegos. Antes de HID,
los dispositivos tenían que ajustarse a protocolos estrictamente definidos para
ratones y teclados. Todas las innovaciones de hardware necesitaban sobrecargar
el uso de datos en un protocolo existente, o la creación de hardware no estándar
que necesitara sus propios controladores. La visión de HID comenzó por
encontrar una manera de proporcionar soporte básico para estos dispositivos de
"modo de arranque" en el sistema operativo, pero aún así permitir que los
proveedores de hardware proporcionen diferenciación con interfaces extensibles,
estandarizadas y fácilmente programables.

Hoy en día, los dispositivos HID incluyen: pantallas alfanuméricas, lectores de


códigos de barras, controles de volumen en altavoces / auriculares, pantallas
auxiliares, sensores y resonancias magnéticas (sí, en hospitales). Además,
muchos proveedores de hardware usan HID para sus dispositivos propietarios.

HID comenzó a través de USB, pero fue diseñado de manera independiente


del bus desde el principio. Originalmente se diseñó para dispositivos de baja
latencia y bajo ancho de banda, pero es flexible y la velocidad se especifica
mediante el transporte subyacente. La especificación para HID a través de USB
se ratificó a fines de la década de 1990, y el soporte para transportes adicionales
comenzó poco después. Hoy, HID tiene un protocolo estándar sobre múltiples
transportes, y los siguientes transportes son compatibles de forma nativa en
Windows 8 para HID:

USB

Bluetooth

19
Bluetooth LE

I²C

Los transportes específicos del proveedor también se permiten a través de


controladores de transporte específicos de proveedores externos. Se
proporcionarán más detalles en secciones posteriores.

1.2 Que es un Dispositivo de Interfaz Humana “HID”

Desde teclados y ratones hasta auriculares y cargadores de juegos, La


tecnología de bus serie universal (USB) ha revolucionado el término “Plug-and-
Play” para los sistemas y dispositivos informáticos.

Mediante la utilización de especificaciones estandarizadas, dispositivos USB


esencialmente hablan el mismo idioma solo con un acento diferente.

HID“HumanInterfaceDevices” es una de las clases de USB más utilizadas. La


especificación de clase HID se definió principalmente para los dispositivos que
utilizan los humanos para controlar el funcionamiento de los sistemas
informáticos. 18

Los ejemplos típicos de dispositivos de clase HID son los teclados, ratones,
trackballs y joysticks (ver fig. 1).

Este tipo de dispositivos pueden tener botones, interruptores, perillas,


deslizadores, aceleradores, volantes, pedales, cualquier tipo de sensor etc.

18 Human Interface Devices (HID) Information | USB-IF. (2018).

20
Figura 1. Dispositivos de Interfaz Humana más comunes

Fuente: https://www.microsoft.com/accessories/

La clase HID también se utiliza con frecuencia para dispositivos que pueden
no requerir interacción humana pero que proporcionan datos en un formato
similar a los dispositivos de clase HID. Algunos ejemplos son lectores de códigos
de barra, termómetros o voltímetros. Como Windows incluye un controlador de
clase para dispositivos HID, muchos dispositivos USB para equipos industriales o
de laboratorio utilizan la clase HID.

Figura 2. Dispositivos de Interfaz Humana más comunes

Fuente: https://tecnologia-informatica.com/lectores

21
2. Colecciones de nivel superior

Una colección de nivel superior es una agrupación de funcionalidades que se


dirige a un consumidor de software en particular (o tipo de consumidor) de la
funcionalidad. El descriptor de informe describe una o más colecciones de nivel
superior. Por ejemplo, una Colección de nivel superior puede describirse como
Teclado, Ratón, Control del consumidor, Sensor, Pantalla, etc. En la
especificación HID, estas Colecciones de nivel superior también se conocen
como Colecciones de aplicaciones. El dispositivo HID describe el propósito de
cada Colección de nivel superior, para permitir que los consumidores de la
funcionalidad HID identifiquen Colecciones de nivel superior en las que puedan
estar interesados. En Windows, la clase de configuración del dispositivo HID
(HIDClass) genera un objeto de dispositivo físico (PDO) único para cada
Colección de nivel superior descrita por el Descriptor de informes.

2.1 Informes

Cuando las aplicaciones y los dispositivos HID intercambian datos, esto se


hace a través de Informes. Hay tres tipos de informes: informes de entrada,
informes de salida e informes de funciones.

2.1.1 Descripción del tipo de informe

Bloques de datos de informes de entrada que se envían desde el dispositivo


HID a la aplicación, generalmente cuando cambia el estado de un control.

Bloques de datos de informe de salida que se envían desde la aplicación al


dispositivo HID, por ejemplo, a los LED de un teclado.

Bloques de datos de informe de características que se pueden leer y / o


escribir manualmente, y que generalmente están relacionados con la información
de configuración.

22
Cada Colección de nivel superior definida en un Descriptor de informe puede
contener cero (0) o más informes de cada tipo.

3. La interfaz de programación de aplicaciones (API) HID

Hay tres categorías de API HID: descubrimiento y configuración de


dispositivos, movimiento de datos y creación / interpretación de informes.

3.1 Descubrimiento y configuración del dispositivo

La siguiente lista identifica la API HID que una aplicación puede usar para:
identificar las propiedades de un dispositivo HID y establecer comunicación con
ese dispositivo. Además, una aplicación puede usar algunas de estas API para
identificar una Colección de nivel superior.

HidD_GetAttributes

HidD_GetHidGuid

HidD_GetIndexedString

HidD_GetManufacturerString

HidD_GetPhysicalDescriptor

HidD_GetPreparsedData

HidD_GetProductString

HidD_GetSerialNumberString

HidD_GetNumInputBuffers

HidD_SetNumInputBuffers

3.1.2 Movimiento de datos

La siguiente lista identifica la API HID que una aplicación puede usar para
mover datos de un lado a otro entre la aplicación y un dispositivo seleccionado.

23
HidD_GetInputReport

HidD_SetFeature

HidD_SetOutputReport

ReadFile

WriteFile

3.1.3 Creación e interpretación de informes

Si está escribiendo una aplicación HID para su propio hardware, tiene


conocimiento existente del tamaño y formato de cada informe emitido por su
dispositivo. En este caso, su aplicación puede emitir los búferes de informes de
entrada y salida a estructuras y consumir los datos.

Sin embargo, si está escribiendo una aplicación HID que se comunica con
todos los dispositivos que exponen una funcionalidad común (por ejemplo, una
aplicación de música que necesita detectar cuando se presiona un botón de
reproducción), es posible que no conozca el tamaño y el formato de los informes
HID. Esta categoría de aplicación comprende ciertas colecciones de nivel superior
y ciertos usos.

Para interpretar los informes recibidos de un dispositivo, o para crear informes


que se enviarán, la aplicación debe aprovechar el Descriptor de informes para
determinar si se encuentra un uso particular en los informes y dónde está, y
(potencialmente) las unidades de valores en los informes. Aquí es donde se
requiere el análisis HID. Windows proporciona un analizador HID para que lo
utilicen los controladores y las aplicaciones. Este analizador expone un conjunto
de API (HidP_ *) que se pueden usar para descubrir los tipos de usos admitidos
por un dispositivo, determinar el estado de dichos usos en un informe o crear un
informe para cambiar el estado de un uso en el dispositivo.

24
La siguiente lista identifica las API del analizador HID.

HidP_GetButtonCaps

HidP_GetButtons

HidP_GetButtonsEx

HidP_GetCaps

HidP_GetData

HidP_GetExtendedAttributes

HidP_GetLinkCollectionNodes

HidP_GetScaledUsageValue

HidP_GetSpecificButtonCaps

HidP_GetSpecificValueCaps

HidP_GetUsages

HidP_GetUsagesEx

HidP_GetUsageValue

HidP_GetUsageValueArray

HidP_GetValueCaps

HidP_InitializeReportForID

HidP_IsSameUsageAndPage

HidP_MaxDataListLength

HidP_MaxUsageListLength

25
HidP_SetButtons

HidP_SetData

HidP_SetScaledUsageValue

HidP_SetUsages

HidP_SetUsageValue

HidP_SetUsageValueArray

HidP_UnsetButtons

HidP_UnsetUsages

HidP_UsageAndPageListDifference

HidP_UsageListDifference

4. Por qué los dispositivos de interfaz humana pueden ser peligrosos

Con el paso del tiempo y el exponencial índice de crecimiento de la tecnología


y su aplicación en muchas áreas, y de modo totalmente necesario, se han
desarrollado de forma paralela infinidad de dispositivos para la interacción
Humano – Máquina, para la comunicación con los sistemas de cómputo y para la
entrada y salida de información.

En 1997 Mike Van Flandern y Manolito Adan, observaron la necesidad de


estandarizar un protocolo conexión que permitiera a este tipo de dispositivos
comunicarse con el hardware del sistema, creando la clase HID la cual fue
adoptada por la empresa Microsoft, como estándar de conexión para los
dispositivos externos.

Dentro de las ventajas de la adopción de la clase HID, y tal vez una de las más
llamativas, es el concepto de “plug and play” o "enchufar, conectar y usar", que
brinda al usuario una experiencia más cómoda, al momento de hacer uso de su

26
sistema, omitiendo las tediosas tareas de instalación de “drivers” y
configuraciones tortuosas.

Al conectar un dispositivo de interfaz humana al sistema, este lo reconoce y


utiliza la clase HID como protocolo de comunicación, siendo posible la utilización
de manera inmediata de dicho dispositivo, generando un “enlace de confianza”,
ya sea un teclado, un ratón o cualquier otro periférico que pueda ser reconocido
como dispositivo de interfaz humana.

En otras palabras, existe una confianza inherente entre los dispositivos de


entrada externos y los sistemas informáticos.19

Dicha confianza inherente de la cual gozan los dispositivos de interfaz humana,


se convierte en un vector de ataque por parte de los ciberdelincuentes, que
emulando las características de un dispositivo de interfaz humana, en un
aparente dispositivo USB, puede configurar ataques contundentes y sumamente
peligrosos, con solo introducir el dispositivo modificado en el puerto USB, el
sistema lo reconocerá como un teclado y lo aceptará inmediatamente, dándose
inicio al ataque, que puede ser con diversos objetivos, pero siempre ingresando
pulsaciones de tecla previamente establecidas a una velocidad extremadamente
alta.

5. Riesgos a los que está expuesto un sistema al recibir un ataque mediante


un dispositivo HID

5.1 Introducción De “Payloads”

También conocido como la carga útil, un “Payload”es toda carga dañina que
se activa al vulnerar un sistema, generando nuevas amenazas, extrayendo,
modificando, insertando o eliminando datos; mediante la introducción de un
“payload” el atacante puede desplegar una serie de actividades que hacen que el

19
Dillenberger, D. E., Gil, D., Nitta, S. V., & Ritter, M. B. (2011). Frontiers in information technology
education. IBM Journal of Research and Development, 55(5).

27
sistema sea totalmente vulnerable, por ejemplo, como se enunció en el
planteamiento del problema de la presente monografía, es posible que en el
equipo de la víctima se cree una punto de acceso para que el atacante obtenga
mayor control del sistema, y genere un ataque más sofisticado.

5.2 Puertas traseras “BackDoor”

La vulnerabilidad creada con la introducción del payload enunciado en el


párrafo anterior, en donde el atacante genera una nueva amenaza, creando un
punto de acceso inalámbrico al sistema, es una variante de lo que normalmente
se denomina Puerta trasera o “BackDoor”, en donde el delincuente informático
por medio de este nuevo “atajo” puede acceder con mayor facilidad al sistema, y
de una manera más anónima puesto que no tiene que acceder físicamente al
sistema, para cometer la intrusión.

5.3 Modificación, inserción, extracción o eliminación de datos

Así como una persona frente a un equipo de cómputo puede realizar cualquier
tipo de modificación a los datos del sistema, con unos cuantos comandos,
también un atacante o ciberdelincuente, con la utilización del dispositivo de
interfaz humana y un payload precargado y correctamente configurado, puede
hacer cualquier tipo de manipulación de los archivos del sistema en tan solo un
par de segundos, y con tan solo introducir el pequeño dispositivo en el puerto
USB (ver fig. 3).

Figura 3. Conexión a puerto USB

28
Fuente: www.aratecnia.es/usb-killer

6. Instalación de Malware

6.1 ¿Qué es malware?

Malware es el nombre general de varias variantes de software


malintencionado, incluidos virus, ransomware y spyware. Malware es la
abreviatura de software malintencionado, el cual consiste generalmente en un
código desarrollado para realizar ciberataques, diseñado para causar un daño
extenso a los datos y sistemas o para obtener acceso no autorizado a una red.
Por lo general, el malware se entrega en forma de enlace o archivo por correo
electrónico y requiere que el usuario haga clic en el enlace o abra el archivo para
ejecutar el malware.

El malware ha sido realmente una amenaza para las personas y las


organizaciones desde principios de la década de 1970, cuando apareció por
primera vez el virus Creeper. Desde entonces, el mundo ha sido atacado por
cientos de miles de variantes de malware diferentes, todo con la intención de
causar la mayor interrupción y el mayor daño posible.

6.2 Tipos de malware

Virus: Posiblemente el tipo más común de malware, los virus contienen un código
malicioso oculto y están a la espera de que un usuario confiado o un proceso
automatizado los ejecute. Al igual que un virus biológico, pueden propagarse
rápida y ampliamente, lo que puede dañar la funcionalidad principal de los
sistemas, corromper los archivos y bloquear a los usuarios de sus computadoras.
Por lo general, se encuentran dentro de un archivo ejecutable.

Gusanos: Los gusanos obtienen su nombre por la forma en que infectan los
sistemas. A partir de una máquina infectada, se abren camino a través de la red,
conectándose a máquinas consecutivas para continuar con la propagación de la
infección.

29
Este tipo de malware puede infectar redes enteras de dispositivos muy
rápidamente.

Spyware: como su nombre lo indica, está diseñado para espiar lo que un usuario
está haciendo, este tipo de malware recopilará información sin que el usuario lo
sepa, como los detalles de la tarjeta de crédito, las contraseñas y otra información
confidencial.

Troyanos: al igual que los soldados griegos se escondieron en un caballo gigante


para lanzar su ataque, este tipo de malware se oculta dentro o se disfraza de
software legítimo. Actuando de manera discreta, violará la seguridad al crear
puertas traseras que permitan el acceso a otras variantes de malware.

Ransomware También conocido como scareware, el ransomware tiene un precio


muy alto. Capaz de bloquear redes y bloquear usuarios hasta que se pague un
rescate, el ransomware se ha dirigido a algunas de las organizaciones más
grandes del mundo hoy en día, con resultados costosos.

7. Como proteger un equipo de ataques con dispositivos HID

Todo dispositivo USB puede representar una amenaza para el ordenador,


debido a que es probable que esconda en su interior malware que infecte el
equipo apenas se conecte.

No solo en los ficheros y archivos maliciosos se encuentran las amenazas en


las unidades de USB. ElBadUSB fue descubierto en el 2014, se trata de un
malware almacenado en el firmware de dispositivo, esto indica que puede infectar
el ordenador aun cuando esta nuevo y vacío. Debido a que el código malicioso
está ubicado en el controlador, lejos de escáner de software de seguridad, resulta
indetectable para los antivirus.

Para a protección de nuestro ordenador es ideal configurar nuestro software


en función de hacerlo menos vulnerable ante las amenazas. A continuación se
presentan algunas sugerencias:

30
 Al reiniciar nuestro ordenador, asegurar que se pida una contraseña. Si el
sistema operativo es Windows o Linux, habrá que elegir una contraseña de
intensidad fuerte.
 El almacenamiento en todos los equipos debe estar encriptado.
 De poseer servidores, asegurar que al apagar o desconectar toda la
información que contenga estará encriptado.
 Cerrar la pantalla cada vez que se aleje del ordenador.
 Supervisar la adición de dispositivos USB a ordenador y detectar nuevos
dispositivos
 Limitar en la configuración de nuestro ordenador a instalación de nuevos
dispositivos.
 Limitar e usos de dispositivos de almacenamiento.-

8. Funcionamiento de los USB maliciosos para el robo de datos


Las normas de seguridad tienen años aconsejando que la manera más segura
de proteger toda nuestra información es tener una contraseña en nuestro
ordenador, pero con el paso de tiempo se ha comprobado que esta medida no es
100 % confiable.

Hay usuarios que conservan la costumbre de activar el boqueo de forma


temporal cuando se apartan del ordenador, pero la sesión sigue abierta. Se
podría creer que es una manera de protegerse, pero no es así. Cerrar la sesión
por completo o apagar el ordenador siempre será más seguro.

Los sistemas operativos están expuestos a robos de informacióncuando están


bloqueados con sesiones activas, debido a que el ordenador mantiene activos los
procesos en donde se tiene registrado el hash o firma digital del usuario, además
de la conexión de red.

De esta forma, solo se necesitará conectar un dispositivo USB malicioso que


se encargará de copiar toda la información, que más adelante servirá para
acceder a otros servicios, y así violar todo el sistema.

31
El USB se debe programar para que simule ser un adaptador LAN USB a
Ethernet, así en el ordenador que se desea hackear se convertirá en la interfaz de
red principal. Esto es posible en base a que la mayoría de usuarios mantiene en
sus ordenadores a programación automática para la conexión de dispositivos
USB.

Al inserta un USB con tarjeta de red, se convierte en a fuente principal de red.


Gracias a esto, el ciberdelicuente se hace del control de la configuración de red,
así obtendrá acceso a los DNS, configuración de proxys, entre otras cosas.De
igual forma, permitirá interceptar y manipular todo el tráfico de red que ocurre en
el ordenador "bloqueado", siempre y cuando la sesión esté abierta.

9. El estado actual de los dispositivos USB infectados


Actualmente se ha creado herramientas de ciberrobo basadas en los USB
Rubberducky con conexión WIFI. Estopermite que no necesite una programación
inicial con todo el procedimiento que implica, es decir, se puede controlar en
remoto, ofreciendo más flexibilidad y permitiendo trabajar con diferentes sistemas
operativos. Son lo suficientemente pequeños como para introducirse en un
teclado o ratón.

Pueden ser programados para que el ordenador los reconozca como


dispositivos HID, permitiendo que se salte las políticas de seguridad que tienen
los sistemas operativos. Pueden ser equipadas con un micrófono, llegando a
establecer un sistema de vigilancia.

32
Estructura de la monografía

Introducción

1. Planteamiento del Problema

1.1 Objetivo General

1.1.2. Objetivos Específicos

2. Marco Conceptual

2.1 Antecedentes de la Solución del Problema

2.2 Marco Teórico

2.3 Alcance

2.4 Justificación

2.5 Hipótesis de la Investigación

2.6 Hipótesis de la Investigación

3. Metodología

3.2 Técnicas e instrumentos para recolectar la información

3.3 Técnicas e instrumentos para analizar la información.

3.4 Fuentes de información secundarias,

3.5 Definición y justificación del tipo de estudio.

Conclusión

Bibliografía

Anexos

33
34
BIBLIOGRAFÍA

IBAÑEZ, Alvaro, Corporación de Radio y Televisión Española 2017 {En línea},


{10 noviembre de 2017} disponible en:
http://www.rtve.es/noticias/20140801/pendrives-usb-malignos-amenazan-
seguridad-todos-ordenadores-del-mundo/985963.shtml

MAESTRE, Elena, GIRALT, Manuel y MIRONES, Ramiro. "Global Information


Security Survey." {Enlínea}. {10 noviembre de 2017} disponible en:
http://www.ey.com/Publication/vwLUAssets/EY_resumen-ejecutivo-Global-
Information-Security-Survey-
2017/$File/EY_Resumen_Ejecutivo_Global_Information_Security.pdf

¿Qué es el HID? - denoizer. (2017). Denoizer.com. {enlinea}, {12 de noviembre


de 2017}disponible en: http://www.denoizer.com/-que-es-el-hid-.html

Iso27000.es. {en linea}, {10 noviembre de 2017} disponible en


http://www.iso27000.es/download/doc_sgsi_all.pdf

USB RubberDucky, {en linea}, {10 de noviembre de 2017}, disponible en:


https://hakshop.com/products/usb-rubber-ducky-deluxe

NORMA TÉCNICA COLOMBIANA - NTC 1486, {10 de noviembre de 2017},


disponible en:
http://www.unipamplona.edu.co/unipamplona/portalIG/home_15/recursos/01_g
eneral/09062014/n_icontec.pdf

ALONSO CEBIÁN, Jose (Chema Alonso), USB RubberDucky: Un teclado


malicioso como un pendrive, UN INFORMÁTICO EN EL LADO DEL MAL, {en
linea}, {10 de noviembre de 2017}, disponible en:
http://www.elladodelmal.com/2014/05/usb-rubber-ducky-un-teclado-
malicioso.html

KITCHEN Darren. Payloadwifibackdoor –Hak5darren, {en linea}, {10 noviembre


de 2017} disponible en: https://github.com/hak5darren/USB-Rubber-
Ducky/wiki/Payload---wifi-backdoor

35
VM VirtualBox – Oracle {en linea}, {10 de noviembre de 2017}, disponible en:
https://www.oracle.com/es/virtualization/virtualbox/index.html

WiFiBadUSB- seytonic, {en linea}, {16 de noviembre de 2017}, disponible en:


https://seytonic.com/2016/11/26/arduino-rubber-ducky-microsd/

Keyboardlibrary – Arduino {en linea}, {16 de noviembre de 2017}, disponible en:


https://www.arduino.cc/reference/en/language/functions/usb/keyboard/

Duckyscript - hak5darren, {en linea}, {18 de noviembre de 2017}, disponible en:


https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Duckyscript

RUIZ, Salvador, Instituto Internacional de Seguridad Cibernetica 2017 {En


línea}, {10 diciembre de 2017} disponible en:
http://noticiasseguridad.com/importantes/como-proteger-de-usb-rubber-ducky-
con-herramienta-gratuita-beamgun/

Backdoor (Puerta trasera). Symantec.com. {en linea}, {10 diciembre de 2017}


disponible en:
https://www.symantec.com/es/mx/security_response/glossary/define.jsp?letter
=b&word=backdoor

Amenazas y vulnerabilidades de la seguridad informática, Universidad Nacional


Autónoma de México, {en linea}, {10 diciembre de 2017} disponible en:
http://www.ptolomeo.unam.mx:8080/xmlui/bitstream/handle/132.248.52.100/21
7/A5.pdf?sequence=5

ALBORS, Jose, welivesecurity – ESET. {enlinea}, {10 diciembre de 2017}


disponible en: https://www.welivesecurity.com/la-es/2014/10/09/exploits-que-
son-como-funcionan/

Qué es el pharming y cómo evitarlo – kasperskyLatinoamerica, {en linea}, {10


diciembre de 2017} disponible en: https://latam.kaspersky.com/resource-
center/definitions/pharming

36
Duckhunting - Stopping Automated Keystroke Injection Attacks, - konukoii
{enlinea}, {10 diciembre de 2017} disponible en:
https://github.com/pmsosa/duckhunt

Human Interface Devices (HID) Information | USB-IF. (2018). Retrieved from


https://www.usb.org/hid

Protege tu información de amenazas físicas – Security in-a-box (2018) disponible


en: https://securityinabox.org/es/guide/physical/

Un dispositivo es todo lo que se necesita para robar la contraseña de un


ordenador – Xataka (2016) disponible en: https://www.xataka.com/seguridad/un-
dispositivo-usb-es-todo-lo-que-se-necesita-para-robar-contrasenas-de-un-
ordenador

37