Desde el punto de vista del software, no hay nada "nuevo" en el cable O.MG: no explota nuevos vectores en el software o el hardware del ordenador.
Lo interesante de ese cable es su factor de forma. Por ejemplo, si coges un pendrive cualquiera en la calle, algunas personas pensarán instintivamente que no es buena idea conectarlo a su ordenador, porque no saben lo que contiene. Sin embargo, si coges un cable cargador al azar de un escritorio en la sala de descanso, las mismas personas quizás no se lo pensarían dos veces antes de conectarlo a su ordenador.
El pensamiento es del tipo "es sólo un cable, ¿qué daño podría hacer? Lo interesante del cable O.MG es simplemente que ahora es posible obtener fácilmente los componentes necesarios para hacer funcionar un pequeño microprocesador en un formato tan pequeño que realmente parece "sólo un cable", y no "un cable con una gran caja o un gran bulto".
El software que se ejecuta en el microprocesador del cable indica al ordenador que se trata de un dispositivo de interfaz humana, un nombre elegante para cosas como teclados, ratones, trackballs y similares. Así que el cable es básicamente un teclado "sin cabeza". En cualquier momento, después de enchufar el cable, el microprocesador podría enviar paquetes USB al ordenador para decirle que el usuario ha pulsado tal o cual botón del teclado, o que ha movido el ratón tal o cual cosa.
El cable no tiene acceso a los datos de su ordenador . Tu pregunta parece implicar que al enchufar el cable se accede de alguna manera a los datos, pero no es así. El microprocesador puede enviar datos al ordenador - no recibe datos (cargas útiles) del ordenador como tal. El microprocesador necesitará enviar pulsaciones de teclas (etc) para activar algún software que luego enviará datos al microprocesador en el cable para que se produzca cualquier transferencia de datos. Si su ordenador, por ejemplo, está bloqueado (es decir, no ha iniciado la sesión y tiene activado el FileVault), ninguno de sus datos podrá ser transferido al microprocesador del cable.
Si imaginas que el microprocesador también tiene una interfaz inalámbrica (es decir, piensa en radiofrecuencia, Bluetooth, WiFi, etc.), entonces un atacante podría sentarse en un lugar cercano con visibilidad de la víctima. La víctima enchufa el cable y pasa su día como de costumbre - cuando la víctima da la espalda al monitor del ordenador para hablar con un colega, el atacante simula inalámbricamente las pulsaciones del teclado y los movimientos del ratón para hacer lo que quiera. Esto puede hacerse después de que el usuario haya desbloqueado el ordenador.
Este ataque es esencialmente el mismo que el de alguien, que no conoce, que conecta uno de esos minúsculos USB para teclados inalámbricos en su ordenador, y lo utiliza para controlar remotamente su ordenador utilizando el teclado inalámbrico.
En teoría, el ataque es fácil de defender. El ordenador debería simplemente no dejar que nadie conecte el teclado y el ratón. Es decir, no se trata de un ataque superdifícil y complejo.
En la práctica, los usuarios domésticos probablemente se sentirían muy confundidos si de repente no pudieran conectar el teclado y el ratón y esperar que funcionen. Por ello, la mayoría de los principales sistemas operativos (como Windows, Mac, Linux) permiten al usuario conectar teclados, ratones, etc. sin ningún proceso de aprobación.
Para protegerse del cable O.MG desde un punto de vista técnico (es decir, desde el punto de vista organizativo, se podría enseñar a los usuarios a no utilizar nunca cables de origen desconocido, o se podría enseñar a los usuarios a utilizar un adaptador de protección especial que sólo conecte las clavijas de alimentación del cable al ordenador), se podría hacer que el usuario tuviera que aprobar los teclados, ratones, etc. que se conectan al ordenador.
Por ejemplo, puede ser que aparezca un mensaje en la TouchBar de un MacBook Pro que el usuario tenga que confirmar con un toque.
También podría ser más sencillo que el primer teclado y el primer ratón que se conecte esté aprobado, pero los siguientes no, y requiera la aprobación escribiendo algo en el primer teclado.
