Del «juice-jacking» al «choicejacking»: así evolucionan los ataques que convierten los cargadores públicos en herramientas para robar información de un dispositivo
18 ago 2025 . Actualizado a las 13:21 h.Los cargadores públicos, habituales en aeropuertos, estaciones de tren o centros comerciales, llevan años en el punto de mira de los expertos en ciberseguridad. Lo que comenzó como una advertencia sobre el juice-jacking —un ataque en el que un puerto USB manipulado podía robar datos mientras cargaba el teléfono— ha evolucionado hacia una modalidad más sofisticada: el choicejacking.
Este nuevo método permite a los ciberdelincuentes saltarse las protecciones que fabricantes como Apple o Google habían incorporado. Hasta ahora, cuando un móvil se conectaba a un ordenador o a una estación de carga, aparecía una pregunta en la pantalla: «¿Quiere permitir la transferencia de datos o solo cargar el dispositivo?». Con el choicejacking, esa decisión ya no pasa necesariamente por el usuario: el dispositivo malicioso puede aceptar de manera automática la transferencia de información.
El término juice-jacking procede del inglés y une dos palabras: juice (literalmente «zumo», pero también «energía» o «batería» en jerga tecnológica) y jacking («pirateo» o «apropiación»). Apareció en el 2011 para describir el riesgo de que, al conectar un teléfono a un puerto USB público, este actuara como un ordenador encubierto capaz de copiar fotos, documentos o contactos, e incluso instalar programas espía.
Para mitigarlo, los sistemas operativos introdujeron un filtro: cada vez que un dispositivo se conectaba a un ordenador o estación de carga, pedía al usuario que confirmara si quería permitir la transferencia de datos o solo cargar la batería.
El choice-jacking va un paso más allá. El término también proviene del inglés y significa literalmente «robo de la elección». Se refiere a cómo el dispositivo malicioso suplanta la decisión del usuario. Según investigadores de la Universidad Tecnológica de Graz (Austria), las estaciones de carga alteradas pueden hacerse pasar por un teclado o por un dispositivo Bluetooth. Así, inyectan órdenes invisibles que activan la transferencia de datos o incluso el modo de depuración, sin que el propietario pulse nada. En la práctica, el atacante puede acceder al contenido del móvil o instalar malware —programas diseñados para robar información o dañar el dispositivo— en apenas 133 milisegundos, menos de lo que tarda un ojo humano en parpadear.
A diferencia del juice-jacking, donde al menos aparecía un mensaje de advertencia, el choice-jacking elimina esa mínima alerta. Por eso es más difícil de detectar y afecta tanto a Android como a iOS (aunque con diferencias técnicas entre ambos sistemas).
El riesgo aumenta en escenarios comunes: el viajero que conecta su móvil en un aeropuerto, el cliente que lo hace en un hotel o el visitante que aprovecha un puerto de carga en un centro comercial. En todos esos casos, el gesto cotidiano de «enchufar y seguir» puede convertirse en una puerta trasera para un atacante.
«El choice-jacking es especialmente peligroso porque manipula un dispositivo para que tome decisiones que los usuarios no tenían previstas, todo ello sin que se den cuenta», explica Adrianus Warmenhoven, asesor de ciberseguridad en NordVPN. «Estos ataques, que dan acceso a datos y/o descargan malware, se aprovechan de la confianza que depositamos en las interacciones cotidianas con nuestros móviles».
Consejos para protegerse
Frente a un ataque tan rápido y silencioso como estos, la única defensa eficaz es la prevención. Estas son algunas pautas que recomiendan los expertos de NordVPN:
- Mantener el móvil siempre actualizado. Cada actualización del sistema operativo incluye parches de seguridad que corrigen vulnerabilidades conocidas. Retrasar o ignorar esas actualizaciones deja abiertas puertas que los atacantes pueden aprovechar. Es importante instalar tanto las actualizaciones «grandes» (nuevas versiones de Android o iOS) como las menores, que suelen corregir fallos críticos.
- Evitar las cargas de emergencia. Parece evidente, pero los usuarios que apuran la batería hasta el 1 % suelen ser quienes acaban conectándose a cualquier puerto disponible. Si se mantiene un margen y rara vez se baja del 10 %, se reduce la probabilidad de tener que recurrir a estaciones públicas.
- Usar una batería portátil. Son ligeras, económicas y permiten recargar el teléfono en cualquier lugar sin depender de puertos ajenos. De este modo, el único dispositivo que se conecta al móvil es uno bajo nuestro control. Para quienes viajan con frecuencia, es la opción más segura y práctica.
- Preferir un enchufe de pared con cargador propio. La manipulación suele producirse a través de los puertos USB, no de la corriente eléctrica. Si en un hotel o aeropuerto hay disponibles enchufes tradicionales, conviene llevar siempre nuestro adaptador y cable. Con ello se evita la parte de datos de la conexión USB y se limita la interacción a la simple carga.
- Activar el modo «Solo carga». Algunos dispositivos Android permiten forzar que cualquier conexión USB se limite únicamente a recargar la batería. Es una capa adicional de seguridad: aunque el atacante intente activar el modo de transferencia de datos, el teléfono lo bloquea. Conviene revisar en los ajustes si el dispositivo dispone de esta opción y mantenerla activada por defecto.