jorgesdb
Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Encontrar un dispositivo USB (como un disco) en la calle puede parecer una suerte.
Conectarlo tu ordenador para ver qué contiene es, en realidad, regalarle a un atacante la puerta para entrar en tu equipo. Las memorias USB han servido históricamente como vector para introducir malware, ransomware o para iniciar otros ataques. Además, existen dispositivos aparentemente inocentes que, al conectarse, pueden comportarse como teclado, red o almacenamiento y ejecutar acciones sin que lo notes.
Tampoco podemos confiar en esto se circunscriba solo a unidades USB, existen dispositivos que se pueden ocultar en cables USB como el Evil Crow, los hay con capacidad para establecer conexiones WiFi y así filtrar pulsaciones de teclado o datos de red... la imaginación es el límite.
Precisamente ayer me encontré, precintado, una especie de cable de carga con varios cables, USB, USB-C, MicroUSB y Lightning de Apple, con el logo de una cadena de comida basura, que tengo pendiente de diseccionar por curiosidad.
• Emular un teclado (HID) y “teclear” comandos: por ejemplo, abrir una terminal y ejecutar órdenes que descarguen y ejecuten malware.
• Emular un adaptador de red y redirigir tráfico o instalar una puerta trasera de red.
• Emular un almacenamiento pero con firmware manipulado para explotar vulnerabilidades al montarse.
• Emular múltiples interfaces a la vez (por ejemplo, red + teclado), combinando capacidades para lograr acceso y persistencia.
• Servir como herramienta de exfiltración (copiar archivos automáticamente una vez conectado).
• Contener malware que se propaga por la red o cifra archivos (ransomware) si encuentra sistemas vulnerables.
Muchas de estas capacidades aprovechan la confianza del sistema operativo en dispositivos “humanos” (como teclados) o en que el usuario actúe. Por eso la mejor defensa es no conectar dispositivos desconocidos y aplicar controles.
• Instalación silenciosa de malware que registra pulsaciones o abre puertas remotas (keyloggers, troyanos).
• Ransomware que cifra tus archivos y exige rescate.
• Suplantación de identidad si se extraen datos personales.
• En casos con cuentas bancarias o apps de pago en el equipo, cargos y fraudes financieros.
Además, en lugares públicos, si dejas tu equipo desbloqueado alguien podría conectar un USB malicioso y ejecutar acciones en tu sesión (esto enlaza con el riesgo de no bloquear dispositivos).
• Listas blancas de dispositivos USB (MDM/endpoint control).
• Cifrado de disco completo para que un pendrive no permita extracción fácil de datos.
• Auditoría y monitorización de endpoints para detectar comportamientos inusuales tras la conexión de un dispositivo USB.
• Formación a usuarios: explicar riesgos y el “qué hacer” si encuentran un USB.
• Procedimientos de respuesta: aislar el equipo, desconectar de la red, notificar a TI y conservar el dispositivo para análisis forense.
• Conectar y emular un teclado para ejecutar comandos.
• Instalar un agente remoto o crear una cuenta oculta.
• Montar un adaptador de red para interceptar o redirigir tráfico.
• Copiar archivos sensibles en segundos.
Por eso: aprende atajos de bloqueo (Win+L en Windows, Ctrl+Cmd+Q en macOS, botón de suspensión en móviles) y acostúmbrate a bloquear siempre al levantarte de la silla.
Conectarlo tu ordenador para ver qué contiene es, en realidad, regalarle a un atacante la puerta para entrar en tu equipo. Las memorias USB han servido históricamente como vector para introducir malware, ransomware o para iniciar otros ataques. Además, existen dispositivos aparentemente inocentes que, al conectarse, pueden comportarse como teclado, red o almacenamiento y ejecutar acciones sin que lo notes.
Casos reales
- Stuxnet (2010): un malware sofisticado que se difundió entre entornos aislados vía memorias USB. Es uno de los ejemplos más citados de cómo un USB puede llevar código capaz de comprometer sistemas industriales.
- La investigación BadUSB (2014): investigadores demostraron que un USB puede manipular su firmware para comportarse como otro tipo de dispositivo (por ejemplo, un teclado) y ejecutar comandos. Aunque fue un proyecto investigador, dejó claro el peligro de confiar en dispositivos físicos sin control.
- Existen múltiples incidentes documentados en empresas y organismos donde unidades extrañas o discos externos supuestamente “limpios” acabaron introduciendo malware o facilitando la fuga de datos; también es habitual que campañas de ingeniería social usen memorias “de regalo” para propagar amenazas.
Tampoco podemos confiar en esto se circunscriba solo a unidades USB, existen dispositivos que se pueden ocultar en cables USB como el Evil Crow, los hay con capacidad para establecer conexiones WiFi y así filtrar pulsaciones de teclado o datos de red... la imaginación es el límite.
Precisamente ayer me encontré, precintado, una especie de cable de carga con varios cables, USB, USB-C, MicroUSB y Lightning de Apple, con el logo de una cadena de comida basura, que tengo pendiente de diseccionar por curiosidad.
¿Qué puede hacer un dispositivo malicioso tipo badUSB?
A alto nivel, sin entrar en instrucciones operativas, un dispositivo USB malicioso puede:• Emular un teclado (HID) y “teclear” comandos: por ejemplo, abrir una terminal y ejecutar órdenes que descarguen y ejecuten malware.
• Emular un adaptador de red y redirigir tráfico o instalar una puerta trasera de red.
• Emular un almacenamiento pero con firmware manipulado para explotar vulnerabilidades al montarse.
• Emular múltiples interfaces a la vez (por ejemplo, red + teclado), combinando capacidades para lograr acceso y persistencia.
• Servir como herramienta de exfiltración (copiar archivos automáticamente una vez conectado).
• Contener malware que se propaga por la red o cifra archivos (ransomware) si encuentra sistemas vulnerables.
Muchas de estas capacidades aprovechan la confianza del sistema operativo en dispositivos “humanos” (como teclados) o en que el usuario actúe. Por eso la mejor defensa es no conectar dispositivos desconocidos y aplicar controles.
Riesgos concretos para particulares
• Pérdida o robo de fotos, documentos y contraseñas.• Instalación silenciosa de malware que registra pulsaciones o abre puertas remotas (keyloggers, troyanos).
• Ransomware que cifra tus archivos y exige rescate.
• Suplantación de identidad si se extraen datos personales.
• En casos con cuentas bancarias o apps de pago en el equipo, cargos y fraudes financieros.
Además, en lugares públicos, si dejas tu equipo desbloqueado alguien podría conectar un USB malicioso y ejecutar acciones en tu sesión (esto enlaza con el riesgo de no bloquear dispositivos).
Recomendaciones prácticas para particulares
- Nunca conectes en tu equipo memorias USB encontradas o recibidas de fuentes no verificadas.
- Si sientes curiosidad por el contenido de un pendrive encontrado: entrega el dispositivo a las autoridades locales o a un responsable (por ejemplo, en la oficina); no lo abras en tu equipo personal.
- Desactiva la ejecución automática (autorun) de dispositivos extraíbles en tu sistema.
- Mantén el sistema y el antivirus actualizados; usa un antivirus/EDR con control de dispositivos si es posible.
- Para compras y regalos: procura comprar medios y cables en tiendas de confianza; los dispositivos “prefabricados” de dudosa procedencia pueden venir con firmware manipulado.
- Si en alguna circunstancia necesitas examinar un USB desconocido (por ejemplo, por razones forenses o laborales), hazlo en una máquina aislada, sin red, preferiblemente dentro de una máquina virtual preparada para análisis y por personal con conocimientos (no es una tarea para el usuario medio).
- Utiliza bloqueo de pantalla cuando te alejes del equipo: un atacante puede conectar un USB y aprovechar una sesión abierta.
- Considera la gestión de permisos: no trabajes como usuario administrador en tu equipo: usa una cuenta estándar para el día a día; limitar privilegios reduce impacto.
- Usa control de dispositivos (en el PC o en la empresa): software que permite bloquear puertos USB, permitir solo listas blancas de dispositivos o desactivar almacenamiento masivo.
- Para cargar en lugares públicos: usa “USB data blockers” o cables únicamente para carga (si estás cargando en puertos ajenos). Eso evita que un puerto público intente negociar datos.
Medidas adicionales para empresas y familias
• Políticas claras: prohibir conectar medios externos sin aprobación.• Listas blancas de dispositivos USB (MDM/endpoint control).
• Cifrado de disco completo para que un pendrive no permita extracción fácil de datos.
• Auditoría y monitorización de endpoints para detectar comportamientos inusuales tras la conexión de un dispositivo USB.
• Formación a usuarios: explicar riesgos y el “qué hacer” si encuentran un USB.
• Procedimientos de respuesta: aislar el equipo, desconectar de la red, notificar a TI y conservar el dispositivo para análisis forense.
No dejes tu dispositivo desbloqueado: riesgo de “conexión rápida” y ataques físicos
Si dejas un portátil, tablet o móvil sin bloquear en un lugar público, un atacante con un dispositivo badUSB (o incluso un cable con funciones maliciosas) puede:• Conectar y emular un teclado para ejecutar comandos.
• Instalar un agente remoto o crear una cuenta oculta.
• Montar un adaptador de red para interceptar o redirigir tráfico.
• Copiar archivos sensibles en segundos.
Por eso: aprende atajos de bloqueo (Win+L en Windows, Ctrl+Cmd+Q en macOS, botón de suspensión en móviles) y acostúmbrate a bloquear siempre al levantarte de la silla.
