En los últimos años, los dispositivos USB han sido tanto una herramienta cotidiana de transferencia de archivos como una puerta de entrada para amenazas informáticas sofisticadas. Un artículo reciente de MakeUseOf advierte que hay unidades USB que pueden parecer inofensivas, incluso llevar un logotipo familiar, y sin embargo ser peligrosas para tu ordenador si las conectas sin más. Estas amenazas no son meros virus clásicos almacenados como ficheros que un antivirus pueda detectar fácilmente, sino técnicas que explotan cómo funcionan los propios controladores de USB o que imitan otros dispositivos para ejecutar comandos maliciosos de forma automática. Entender el alcance técnico de estas amenazas y las formas de mitigarlas es clave para proteger tanto datos personales como sistemas completos.

El riesgo real de conectar un inocente pendrive

A primera vista, una memoria USB parece un simple contenedor de bits: archivos, carpetas y alguna que otra copia de documentos. Pero hay métodos de ataque que van mucho más allá de copiar un archivo malicioso en la unidad. Por ejemplo, la vulnerabilidad conocida como BadUSB permite reprogramar el firmware de un dispositivo USB para que no actúe como almacenamiento, sino como otro tipo de periférico, como un teclado que envía órdenes al ordenador tan pronto como es detectado. Esto aprovecha que cuando un USB se inserta, el sistema operativo negocia con el dispositivo y acepta su identidad sin cuestionarla, permitiendo la ejecución automática de acciones sin interacción del usuario (esto es un ataque de suplantación de dispositivo o device emulation).

En términos técnicos, BadUSB se aprovecha de que muchos microcontroladores en dispositivos USB están basados en chips reprogramables como el Intel 8051. Si el firmware de ese microcontrolador ha sido modificado, el dispositivo puede imitar un teclado HID (Human Interface Device) y empezar a “teclear” comandos en segundos. Esto no deja rastro visible en los archivos de la unidad, por lo que un escaneo típico de antivirus no lo detectará si simplemente busca malware almacenado en ficheros.

Además de suplantar periféricos, existen otros métodos más técnicos que pueden comprometer completamente un sistema. Algunos ataques aprovechan cómo los sistemas operativos interpretan estructuras internas de los dispositivos USB o incluso explotan fallos de hardware para inyectar código directamente en la comunicación entre host y dispositivo USB. Esto significa que incluso si no haces clic en ningún archivo de la unidad, puedes estar ejecutando código malicioso.

El “logo peligroso”: cuándo el pendrive deja de ser inofensivo

El artículo original de MakeUseOf advierte concretamente de un tipo de pendrive conocido como Rubber Ducky, o con un símbolo específico que puede indicar que se trata de un dispositivo diseñado para ataques dirigidos. Un Rubber Ducky es un dispositivo que parece un pendrive normal, pero está diseñado para actuar como un teclado programable que ejecuta un script de ataque cuando se inserta en un ordenador. Está en manos de testers y hackers éticos para demostrar vulnerabilidades, pero también puede ser usado maliciosamente si cae en manos equivocadas. La recomendación clara es no enchufar unidades USB desconocidas, especialmente si llevan un logotipo que no reconoces o que se ha asociado con estos dispositivos especializados.

El peligro en estos casos no es tanto que el USB “tenga un virus” en la carpeta raíz, sino que puede modificar la configuración del sistema, descargar otro software malicioso desde Internet sin permiso, crear puertas traseras y permitir acceso remoto a tu equipo sin que lo notes. Técnicamente, el sistema operativo responde a los reportes de tipo de dispositivo sin mayor verificación; tan pronto como el firmware dice “soy un teclado”, lo es para el ordenador.

¿Qué escenarios son típicos en estos ataques?

Además del ataque emulando teclados, hay amenazas más sutiles: hay dispositivos que se configuran para actuar como almacenamiento convencional pero contienen malware que se ejecuta automáticamente cuando el sistema lee ciertos metadatos. Algunos pueden incluir cargas útiles de ransomware destinadas a cifrar archivos inmediatamente, o bien instalar software de exfiltración de datos. En entornos corporativos, donde los administradores confían en que los empleados no conectan dispositivos desconocidos, estos ataques pueden abrir brechas de seguridad de alto impacto.

Un estudio reveló que, en pruebas de campo, aproximadamente un 60 % de las personas que encontraban unidades USB en estacionamientos o espacios públicos conectaban esos dispositivos a sus ordenadores para ver qué contenían, sin preocuparse por los riesgos. Esta cifra sube hasta casi el 100 % si el dispositivo lleva un logotipo que infunde confianza, como una etiqueta gubernamental o corporativa. Esto demuestra que la ingeniería social sigue siendo un componente crítico en estos métodos de ataque.

Técnicas para mitigar los riesgos técnicos

Desde el punto de vista de seguridad técnica, la primera línea de defensa es no conectar nunca unidades USB de procedencia desconocida. Esa regla elemental evita muchos de los vectores más comunes de malware a través de USB. En sistemas Windows, macOS y Linux, es posible desactivar la ejecución automática de dispositivos externos para reducir el riesgo de que se ejecute código sin intervención. También se recomienda gestionar listas blancas de dispositivos USB autorizados mediante políticas de grupo o aplicaciones de seguridad corporativa, de modo que sólo dispositivos registrados puedan interactuar con sistemas críticos.

Otra estrategia es emplear hardware intermedio que filtre las conexiones USB y limite su uso a almacenamiento seguro, como soluciones que imponen un modo de sólo lectura o que autentican dispositivos antes de permitirles comunicarse efectivamente con el host. Este tipo de método aprovecha la idea de poner una capa de verificación entre el USB y el sistema operativo para evitar ataques basados en suplantación de dispositivo o transmisión de comandos no deseados.

Desde un punto de vista técnico profundo, el análisis del intercambio de identificadores USB (VID/PID y descriptor sets) puede ayudar a detectar dispositivos que no coinciden con la expectativa del usuario, como un “USB masa de almacenamiento” que repentinamente anuncia capacidades de teclado. El uso de filtros a nivel de kernel o controladores específicos también puede bloquear la aceptación de dispositivos con comportamientos inusuales.

Reflexiones finales

Los dispositivos USB siguen siendo una herramienta indispensable, pero también son un vector de ataque atractivo por su simplicidad, bajo coste y facilidad de distribución. Ataques como BadUSB o el uso de dispositivos emuladores como Rubber Ducky demuestran que no basta con pensar que un pendrive es inocuo porque “solo almacena ficheros”. La propia estructura del protocolo USB y cómo los sistemas operativos negocian conexiones permiten que un dispositivo malicioso pueda tomar control de un sistema sin interacción explícita del usuario. Además, la ingeniería social juega un papel importante: un logotipo convincente en un USB puede hacer que incluso profesionales descuiden las medidas básicas de seguridad.

En entornos domésticos y profesionales por igual, las buenas prácticas de seguridad —como no conectar dispositivos desconocidos, actualizar el sistema operativo y el software de seguridad, y emplear controles de acceso USB— son esenciales para mantener la integridad de los datos y la estabilidad de los sistemas. Gastar tiempo en establecer controles y educar a los usuarios puede evitar incidentes que, aunque técnicamente simples de ejecutar para un atacante con conocimiento de estos vectores, pueden tener consecuencias muy graves en términos de pérdida de datos, brechas de privacidad o accesos no autorizados.