- Los USB desconocidos, de regalo o encontrados son un vector crítico para malware, robo de datos y daños físicos al equipo.
- Cables, cargadores públicos y gadgets USB baratos pueden usarse para ataques de juice jacking o causar fallos eléctricos.
- En entornos personales y profesionales es clave separar dispositivos, cifrar datos, desactivar la reproducción automática y limitar puertos.
- Formación, políticas claras y herramientas como kioscos de análisis reducen drásticamente los riesgos asociados al uso de USB.
En el día a día conectamos todo tipo de cacharros por USB al ordenador y al móvil casi sin pensar: pendrives, discos externos, cargadores, cables de carga «prestados»… y, si nos descuidamos, también algún que otro dispositivo que hemos encontrado por ahí. Ese gesto tan inocente puede abrir una puerta enorme a robos de datos, malware o incluso daños físicos en el equipo. No hace falta ser un paranoico de la ciberseguridad para tomarse este tema en serio.
Más allá de instalar un antivirus o evitar descargar archivos raros, hay un aspecto que solemos pasar por alto: lo que enchufamos físicamente al PC o al teléfono a través del puerto USB. En este artículo vamos a ver, con calma y con ejemplos reales, qué dispositivos USB no deberías conectar nunca a tu ordenador o móvil, qué técnicas usan los atacantes, qué puede ocurrir en el peor de los casos y qué buenas prácticas conviene aplicar tanto a nivel doméstico como en entornos profesionales.
Por qué el puerto USB es una vía de ataque tan peligrosa
El estándar USB nació para hacernos la vida más fácil, pero esa misma comodidad lo convierte en un vector de ataque muy atractivo para los ciberdelincuentes. Por un único conector pasan dos cosas: electricidad para cargar y un canal de datos bidireccional. Y ahí está el problema.
Cuando conectas un dispositivo USB, el sistema operativo lo reconoce, instala controladores y, muchas veces, confía ciegamente en que lo que se ha enchufado es legítimo. Si el dispositivo está manipulado, puede hacerse pasar por un teclado, un ratón, una tarjeta de red o un pendrive inocente y, a partir de ahí, ejecutar acciones que el usuario no ha autorizado.
Además, los ataques por USB se saltan barreras clásicas como el «air gap» (el aislamiento físico de una red). Aunque tengas una red industrial o corporativa totalmente desconectada de Internet, basta con que alguien meta un USB infectado para que esa protección deje de servir. Así se han introducido amenazas tan conocidas como Stuxnet o Triton en infraestructuras críticas.
Por si fuera poco, el puerto USB no solo se puede usar para colar malware: también puede ser un canal para freír literalmente el hardware, como ocurre con dispositivos tipo USB Killer, que descargan voltajes muy por encima de lo tolerable por la placa base.
USB que nunca deberías conectar a tu ordenador o móvil
Hay ciertos dispositivos que, por mucho que pique la curiosidad, es mejor no tocar. Algunos son claramente sospechosos y otros parecen totalmente inofensivos, pero en todos los casos el riesgo compensa muy poco.
Pendrives y memorias USB desconocidas o «encontradas»
Es el clásico: vas por el pasillo de la oficina, por la biblioteca, el campus o el portal de casa y aparece un pendrive tirado en el suelo o abandonado en una mesa. Más del 40% de la gente que se encuentra uno así acaba conectándolo a un ordenador para «ver qué hay dentro», según experimentos realizados en universidades.
Los atacantes conocen perfectamente esa curiosidad y la explotan. Una táctica muy utilizada consiste en dejar llaves USB infectadas en aparcamientos, ascensores, buzones o zonas comunes de empresas y centros educativos. También se han dado casos de memorias USB enviadas por correo postal a usuarios al azar, simulando ser publicidad o un «regalo» promocional.
Dentro de ese pendrive puede haber de todo: troyanos, gusanos, ransomware, keyloggers, rootkits, adware… Muchos de estos malware están diseñados para propagarse en cuanto detectan otros dispositivos de almacenamiento o equipos en la misma red local, y para mantenerse ocultos el máximo tiempo posible.
Peor aún, no siempre hace falta que abras ningún archivo: si el equipo tiene activada la reproducción automática, el sistema puede ejecutar código malicioso nada más insertar el dispositivo. En escenarios corporativos, una simple llave USB infectada puede desembocar en un incidente de seguridad grave, robo de datos masivo o parada de sistemas críticos.
Y hay un detalle legal importante del que se habla poco: un USB perdido puede contener documentos robados, fotos ilícitas o información bancaria de terceros. El simple hecho de poseer o acceder a cierto tipo de contenidos puede acarrear problemas legales aunque tú no hayas tenido nada que ver con su creación; consulta consejos para prevenir el robo de datos personales.
USB «sorpresa» que llegan por correo o se regalan en eventos
Otro caso muy delicado son los dispositivos USB que recibes sin haberlos pedido: campañas de marketing agresivas, supuestos regalos en ferias, congresos, promociones en centros comerciales o incluso envíos postales anónimos.
En ocasiones son totalmente legítimos, pero ya se han visto campañas en las que se distribuían memorias infectadas para instalar malware o espiar a las víctimas. La policía de Melbourne, por ejemplo, tuvo que lanzar un aviso pidiendo a los ciudadanos que no conectaran a sus ordenadores los USB que aparecían en sus buzones, porque muchos contenían software malicioso.
En empresas y organismos públicos, este tipo de USB «regalo» debería considerarse como un dispositivo de alto riesgo y pasar obligatoriamente por procesos de análisis o, directamente, no utilizarse nunca en equipos de producción.
Cables y cargadores USB de origen dudoso
Con la moda de cargar el móvil en cualquier sitio, han aparecido nuevas técnicas de ataque que aprovechan los cargadores y cables aparentemente inofensivos. Un cargador público en un aeropuerto, un hotel o un centro comercial puede estar manipulado para hacer algo más que cargar la batería.
El llamado juice jacking se basa precisamente en esto: los puertos USB de carga pública pueden usarse para instalar malware o herramientas de monitorización en los dispositivos que se conectan. Un puerto comprometido puede acceder al contenido del teléfono, robar contraseñas y datos personales, y usarlos para suplantar tu identidad, vaciar cuentas bancarias o vender tu información en la dark web.
Algo parecido ocurre con algunos cables USB modificados que esconden un microcontrolador. Por fuera parecen cables normales, pero por dentro pueden comportarse como un teclado que, al conectarse, empieza a escribir comandos a toda velocidad para descargar malware, crear usuarios con privilegios, desactivar el antivirus y un largo etcétera.
La moraleja es clara: nunca des por hecho que un cargador o un cable USB es «solo» un trozo de plástico inofensivo, especialmente si no sabes de dónde sale o quién lo ha podido manipular.
Dispositivos USB de muy baja calidad (ventiladores, luces, gadgets baratos…)
En el extremo contrario al ataque sofisticado están los dispositivos USB cutres y mal fabricados: ventiladores de dos euros, lámparas flexibles, tazas calentadoras, mini juguetes, etc. Aunque su objetivo original no sea malicioso, la mala calidad de los componentes puede suponer un problema serio.
Una mala gestión de la energía, soldaduras deficientes o protecciones inexistentes pueden provocar cortocircuitos, picos de tensión o sobrecargas que dañen puertos USB, placas base o baterías. Y eso sin entrar en que algunos de estos gadgets pueden incorporar firmware modificado o chips de almacenamiento que, de nuevo, podrían utilizarse para introducir código malicioso.
La recomendación es sencilla: si vas a conectar algo a un puerto USB, que sea de un fabricante fiable y con un mínimo de garantías. Lo gratis o sospechosamente barato suele salir caro cuando hablamos de seguridad y hardware.
USB Killer y otros dispositivos diseñados para dañar el hardware
Dentro de la categoría de «ni se te ocurra enchufarlo» están los llamados USB Killer. A diferencia de un pendrive normal, su interior no se dedica a almacenar datos, sino a acumular energía mediante condensadores.
Cuando se conectan a un puerto USB, cargan rápidamente sus condensadores desde las líneas de alimentación y descargan unos 200 voltios de corriente continua sobre las líneas de datos. Este ciclo de carga-descarga se repite varias veces por segundo hasta que se retira el dispositivo. Salvo que el equipo tenga una protección muy específica, el resultado suele ser un puerto USB muerto, una placa base frita o un ordenador completamente inservible.
Incluso aunque tengas antivirus y otras defensas activas, no existe software capaz de proteger tu hardware frente a un ataque puramente eléctrico. Por eso, introducir en tu PC un USB del que no conoces el origen no solo puede acabar en infección, sino también en avería física irreversible.
Riesgos concretos de conectar USB inseguros
Ya hemos visto qué dispositivos es mejor no usar, pero conviene aterrizar qué es exactamente lo que puede pasar. Conectar un USB sospechoso puede comprometer tanto la parte lógica (datos, sistema operativo, red) como la parte física (hardware).
Malware: del troyano silencioso al ransomware destructivo
El malware que se distribuye por medios extraíbles es muy variado. En entornos industriales y corporativos abundan los troyanos con puertas traseras («backdoors»), bots, droppers que descargan otras amenazas, gusanos que se replican automáticamente, rootkits que se esconden del usuario y del antivirus, y todo tipo de adware y spyware.
Algunas familias buscan específicamente otros discos o unidades USB conectadas para propagarse. Otras se centran en robar información confidencial: documentos internos, ficheros de configuración, credenciales guardadas en el navegador, bases de datos, etc. En casos extremos, hablamos de ransomware que cifra todos los archivos accesibles y exige un rescate para recuperarlos; aprende a protegerte del ransomware.
En PCs con reproducción automática activa o mal configurada, basta con insertar el dispositivo para que empiece la fiesta. No hay que abrir nada, ni hacer doble clic en ningún archivo: el sistema ejecuta lo que el atacante haya preparado.
Compromiso de redes industriales y sistemas «air gapped»
En el ámbito de los Sistemas de Control Industrial (SCI), los USB son un arma de doble filo. Por un lado, resultan imprescindibles para actualizar firmware, cargar nuevas configuraciones o transferir datos a equipos que no están conectados a la red. Por otro, son un vector de amenaza enorme.
A pesar de las medidas de aislamiento, muchas plantas industriales han visto comprometidos sus sistemas precisamente por no aplicar buenas prácticas en el uso de medios extraíbles. Stuxnet y Triton son dos ejemplos muy mediáticos, pero no los únicos. Una memoria mal gestionada puede desbaratar por completo la estrategia de air gap: lo que no entraba por la red entra por el bolsillo de un técnico.
Además, la larga vida útil de los equipos industriales y la convivencia de sistemas heredados con otros más modernos hacen difícil mantenerlos todos bajo políticas de seguridad homogéneas. El personal que maneja estos dispositivos de control se convierte, de facto, en el principal factor de riesgo si no está concienciado y formado.
Pérdida de datos, privacidad y posibles responsabilidades legales
No todo el peligro viene de fuera. Las memorias USB también son un riesgo enorme cuando las usamos para almacenar información sensible: datos personales, documentación corporativa, copias de seguridad, fotos privadas, etc.
Son dispositivos pequeños, fáciles de perder, de olvidar en un bolso o de dejar en un ordenador ajeno. Si el equipo donde la conectas está infectado, puede copiar el contenido del pendrive sin que te enteres. Y si extravías la memoria, cualquiera que la encuentre puede acceder a tus documentos si no están cifrados.
En el ámbito profesional, esto se traduce en riesgos claros de fuga de información corporativa y problemas de cumplimiento normativo (por ejemplo, en materia de protección de datos). Por eso muchas organizaciones prohíben expresamente el uso de dispositivos personales para tratar información de empresa.
Daños físicos en el hardware
Aparte de los USB Killer y similares, un dispositivo defectuoso o mal diseñado puede causar problemas eléctricos serios. Un pico de tensión o un cortocircuito en un gadget barato puede llevarse por delante el puerto USB, parte de la placa o incluso la fuente de alimentación.
También hay riesgos asociados a dejar dispositivos conectados durante mucho tiempo sin necesidad. Si hay una subida de voltaje o un fallo en la alimentación mientras el USB está escribiendo datos, puede corromperse el sistema de archivos del pendrive o del propio equipo, con pérdida de información incluida.
Buenas prácticas: cómo usar USB de forma más segura
No siempre podemos prescindir de las memorias o de los puertos USB, pero sí podemos reducir muchísimo el riesgo aplicando una serie de medidas técnicas y de sentido común. Algunas son para cualquier usuario doméstico y otras se orientan sobre todo a empresas y entornos industriales.
No conectar nunca dispositivos USB desconocidos
Puede parecer de Perogrullo, pero sigue siendo el punto más importante: si no sabes de dónde sale un USB, no lo conectes a ningún equipo que te importe. Nada de pendrives encontrados en la calle, «olvidados» en la oficina, que llegan por correo sin pedirlos o que alguien te presta sin garantías.
Si te encuentras un USB, la opción más sensata es no usarlo para nada relacionado con tus dispositivos. En entornos corporativos, debería entregarse al departamento de seguridad o informática para su análisis o destrucción segura. En casa, tirarlo a la basura (rompiéndolo si quieres asegurarte) es muchas veces la alternativa menos mala.
Evitar cargar el móvil en puertos USB públicos
Los aeropuertos, estaciones, hoteles, centros comerciales y hasta autobuses cada vez ofrecen más puertos USB «gratuitos» para cargar el móvil. El problema es que rara vez sabes qué hay detrás de ese conector: un simple adaptador de corriente o un equipo con acceso a tus datos.
Para reducir el riesgo de juice jacking, es preferible usar siempre un cargador propio conectado a un enchufe de pared, o llevar una batería externa que solo utilices tú. Si no te queda otra que usar un puerto público, lo ideal es contar con cables especiales que bloquean los pines de datos y solo permiten la carga.
Separar dispositivos personales y profesionales
A nivel laboral, conviene marcar una línea clara: lo personal por un lado, lo profesional por otro. No deberías conectar tu pendrive particular al ordenador corporativo, ni usar un USB de empresa para llevarte a casa cosas personales.
En la práctica, esto significa: USB corporativos identificados, inventariados y con políticas claras de uso; prohibir o restringir al máximo los dispositivos personales; y someter cualquier memoria externa a controles previos (como análisis en kioscos de seguridad) antes de dejarla entrar en la red interna.
Proteger la información almacenada: cifrado y gestión de contenidos
Cuando no quede más remedio que llevar datos sensibles en un USB, la protección pasa por cifrarlos con una contraseña robusta. Así, aunque alguien se haga con la memoria física, lo tendrá mucho más difícil para acceder al contenido.
Adicionalmente es buena idea limitar qué tipo de información se guarda en estos dispositivos. Evita, en la medida de lo posible, meter datos especialmente delicados o imprescindibles que no tengas replicados en otro sitio seguro. Y cuando ya no los necesites, recurre a borrados seguros, de forma que los ficheros no puedan recuperarse fácilmente.
Configurar el sistema operativo y usar herramientas de seguridad
En el lado técnico, hay varias medidas básicas que ayudan bastante. Por ejemplo, desactivar la reproducción automática de unidades extraíbles, para que nada se ejecute sin que tú lo decidas. También es recomendable tener un buen antivirus actualizado que analice automáticamente los medios extraíbles al conectarlos.
En entornos industriales y corporativos avanzados, se puede ir más allá con soluciones específicas de control de puertos USB: restringir qué tipos de dispositivos se pueden conectar, aplicar políticas diferentes según el equipo, registrar todo lo que se enchufa, bloquear firmware no firmado, etc.
Una herramienta cada vez más utilizada son los kioscos de análisis de USB: equipos dedicados donde se conectan las memorias antes de dejarlas entrar en la red. Estos kioscos realizan análisis con múltiples motores antivirus, protegen frente a BadUSB, permiten borrar de forma segura los contenidos, gestionan inventarios de dispositivos y generan tickets de autorización.
Cuidar la «salud» física de tus memorias USB
Además de la parte de seguridad, no está de más mimar un poco el dispositivo para que dure más y no te deje tirado. Usar siempre la extracción segura antes de desconectar, evitar que se queden enchufados sin necesidad, limpiar el conector de vez en cuando y protegerlo con su tapa reduce el riesgo de fallos físicos.
También conviene no forzar la entrada del conector: si no entra, probablemente esté al revés. Empujar a lo bruto puede romper tanto el pendrive como el puerto del ordenador. Y si trabajas con un portátil con la batería bajo mínimos, evita escribir datos en el USB en ese momento: si el equipo se apaga en mitad de la operación, puedes perder archivos o dañar el sistema de archivos de la memoria.
Formatear de vez en cuando (tras hacer copia de seguridad) ayuda a mantener el rendimiento y detectar pendrives que empiezan a fallar. En cuanto veas comportamientos raros (errores frecuentes, archivos que desaparecen, velocidades ridículas) es mejor jubilarlo antes de perder algo importante.
Formación, concienciación y respuesta ante incidentes
Por muchas medidas técnicas que se pongan, la seguridad USB se juega sobre todo en el factor humano. Si los usuarios no entienden los riesgos, seguirán conectando dispositivos que encuentran «por ahí» o prestando alegremente sus memorias en cualquier ordenador.
En empresas e instituciones resulta clave ofrecer formación periódica sobre buenas prácticas, explicar casos reales, dejar claro qué se puede hacer y qué no, y cómo actuar en caso de pérdida, robo o infección. También es importante que exista un canal sencillo para comunicar incidentes (por ejemplo, notificar de inmediato si desaparece un USB corporativo con datos sensibles) sin miedo a represalias excesivas.
Cuando llega el momento de desprenderse de un dispositivo, ya sea por obsolescencia o por renovación, hay que asegurarse de que no queda ningún rastro de información en su interior. Tirarlo tal cual a la basura o regalarlo sin más puede abrir otra vía de fuga de datos.
Al final, el puerto USB es una herramienta comodísima, pero mal usada se convierte en un coladero. Con un poco de desconfianza sana, unas cuantas normas claras y algo de disciplina al aplicarlas, se puede seguir disfrutando de sus ventajas minimizando mucho los sustos y las averías.
Tabla de Contenidos
- Por qué el puerto USB es una vía de ataque tan peligrosa
- USB que nunca deberías conectar a tu ordenador o móvil
- Riesgos concretos de conectar USB inseguros
- Buenas prácticas: cómo usar USB de forma más segura
- No conectar nunca dispositivos USB desconocidos
- Evitar cargar el móvil en puertos USB públicos
- Separar dispositivos personales y profesionales
- Proteger la información almacenada: cifrado y gestión de contenidos
- Configurar el sistema operativo y usar herramientas de seguridad
- Cuidar la «salud» física de tus memorias USB
- Formación, concienciación y respuesta ante incidentes