Encontrar una memoria USB tirada en la calle, en una oficina o incluso dentro de un paquete promocional puede parecer algo inocente. Mucha gente conecta estos dispositivos al ordenador por simple curiosidad, pensando que quizá contienen fotografías, documentos olvidados o información para localizar a su propietario. Sin embargo, detrás de ese gesto aparentemente inofensivo puede esconderse una amenaza seria para la seguridad del sistema, los datos personales e incluso la integridad física del hardware.

En los últimos años, los ataques mediante dispositivos USB se han convertido en una técnica habitual dentro del ámbito de la ciberseguridad ofensiva. Algunos pendrives contienen malware capaz de ejecutarse automáticamente, mientras que otros pueden hacerse pasar por teclados para introducir comandos maliciosos sin intervención del usuario. Existen incluso dispositivos conocidos como “USB Killer”, diseñados específicamente para destruir componentes electrónicos mediante descargas eléctricas. El artículo publicado por MakeUseOf sobre este tema ha vuelto a poner el foco en un problema que sigue siendo muy actual tanto en entornos domésticos como profesionales.

Un pendrive puede ser mucho más que almacenamiento

La mayoría de usuarios asocia una memoria USB con un simple dispositivo de almacenamiento portátil. En realidad, el estándar USB permite que un periférico se identifique ante el sistema operativo de múltiples maneras distintas. Un dispositivo puede actuar como unidad de almacenamiento masivo, teclado, ratón, adaptador de red o incluso interfaz de depuración. Ese nivel de flexibilidad es precisamente lo que aprovechan muchos atacantes.

El artículo original de MakeUseOf advierte sobre memorias USB sospechosas, especialmente aquellas con un diseño extraño, circuitería visible o componentes poco habituales. Aunque un pendrive pueda parecer roto o artesanal, eso no significa necesariamente que sea inofensivo. Algunos ataques se basan precisamente en disfrazar el hardware para despertar curiosidad. Según distintos estudios de ciberseguridad, cerca del 45% de las personas que encuentran un USB desconocido terminan conectándolo a un ordenador para ver qué contiene.

El problema es que basta una única conexión para comprometer un equipo completo. Un dispositivo malicioso puede ejecutar instrucciones en milisegundos, descargar malware desde Internet o capturar credenciales almacenadas en el sistema. En ciertos casos, el usuario ni siquiera llega a abrir ningún archivo antes de que el ataque se produzca.

Cómo funcionan los ataques USB modernos

Uno de los ataques más conocidos es el denominado BadUSB. En este escenario, el firmware interno del pendrive ha sido modificado para que el ordenador lo reconozca como un teclado HID. Una vez conectado, el dispositivo comienza a enviar pulsaciones automatizadas a gran velocidad, ejecutando comandos de PowerShell, descargando scripts o modificando configuraciones del sistema.

La velocidad de este proceso es sorprendente. Un ataque HID puede introducir cientos de caracteres por segundo, suficiente para abrir una consola administrativa y descargar malware antes de que el usuario reaccione. Algunas variantes incluso esperan varios minutos antes de activarse para evitar sospechas.

Otro método habitual consiste en almacenar archivos aparentemente normales, como PDFs o documentos de Word, que contienen macros maliciosas. Aunque los sistemas actuales bloquean parte de estas amenazas, sigue existiendo un elevado porcentaje de infecciones relacionadas con ingeniería social y ejecución manual de archivos.

También existe el riesgo físico. Los llamados USB Killer utilizan condensadores capaces de acumular carga eléctrica desde el propio puerto USB y devolverla posteriormente en forma de picos de tensión superiores a los 200 voltios. Este tipo de descarga puede destruir controladoras USB, placas base e incluso componentes asociados a la alimentación del sistema. Algunos modelos comerciales afirman generar impulsos eléctricos repetitivos en ciclos inferiores a un segundo.

Según investigaciones académicas recientes, la propia arquitectura USB presenta limitaciones importantes en términos de seguridad, especialmente porque gran parte del tráfico no está cifrado ni autenticado correctamente. Un estudio publicado en arXiv bajo el título “The Impostor Among US(B)” demuestra que incluso es posible inyectar datos en determinadas comunicaciones USB desde dispositivos externos manipulados.

El componente humano sigue siendo el punto débil

La mayoría de estos ataques no dependen únicamente de la tecnología, sino del comportamiento humano. Los ciberdelincuentes saben que la curiosidad sigue siendo uno de los vectores más eficaces para comprometer sistemas.

En muchos casos, los atacantes dejan memorias USB en parkings de empresas, recepciones, universidades o cafeterías. Algunas incluso incluyen etiquetas como “Nóminas”, “Confidencial”, “Fotos personales” o “Presupuestos 2026” para aumentar la probabilidad de que alguien las conecte.

Este tipo de técnica recibe el nombre de USB Drop Attack. Su efectividad ha quedado demostrada repetidamente en auditorías de seguridad corporativa. En pruebas realizadas en entornos empresariales, varias compañías han registrado tasas de conexión superiores al 40% cuando se abandonaban dispositivos USB en zonas comunes.

El problema empeora en oficinas donde los empleados utilizan ordenadores con permisos elevados o conectados a redes internas sensibles. Una sola infección puede propagarse posteriormente mediante recursos compartidos, vulnerabilidades internas o robo de credenciales.

Además, muchos usuarios siguen creyendo que basta con tener un antivirus instalado para estar protegidos. La realidad es más compleja. Algunos dispositivos maliciosos ni siquiera almacenan malware convencional, sino que actúan directamente a nivel hardware. Eso dificulta enormemente la detección mediante soluciones tradicionales.

El caso Stuxnet y el precedente más conocido

Hablar de amenazas USB obliga a mencionar Stuxnet, probablemente el malware propagado por USB más famoso de la historia. Descubierto en 2010, este gusano fue diseñado para sabotear centrifugadoras nucleares iraníes aprovechando vulnerabilidades de Windows y dispositivos extraíbles.

Stuxnet utilizaba múltiples exploits de día cero y podía propagarse automáticamente mediante memorias USB incluso en redes aisladas de Internet. El malware logró afectar aproximadamente al 20% de determinadas centrifugadoras industriales iraníes según distintas investigaciones de seguridad.

Aunque aquel ataque estaba dirigido a infraestructuras críticas y requería recursos estatales, demostró algo importante: un simple pendrive puede convertirse en una herramienta extremadamente peligrosa.

Desde entonces, numerosos grupos criminales han adoptado tácticas similares a menor escala, especialmente en campañas de ransomware y espionaje corporativo.

Qué aspecto tienen estos dispositivos sospechosos

El artículo de MakeUseOf pone especial atención en memorias USB con diseños extraños o componentes visibles. Sin embargo, el aspecto externo no siempre permite identificar un dispositivo malicioso.

Algunos modelos peligrosos utilizan placas electrónicas abiertas, conectores modificados o chips adicionales claramente visibles. Otros son prácticamente indistinguibles de un pendrive convencional de bajo coste. Incluso existen cables USB maliciosos capaces de interceptar información o ejecutar ataques inalámbricos.

En ciertos casos, los dispositivos incluyen microcontroladores programables como ATmega32U4, ESP32 o STM32, ampliamente utilizados en herramientas de hacking ético. Algunos modelos pueden almacenar scripts automatizados capaces de ejecutarse segundos después de la conexión.

Investigaciones recientes también han demostrado que las emisiones electromagnéticas y magnéticas de las memorias USB pueden utilizarse para identificar modelos concretos con una precisión superior al 98%. Ese trabajo, publicado en arXiv bajo el nombre “MAGNETO”, muestra hasta qué punto el análisis hardware de dispositivos USB se ha sofisticado.

Qué hacer si encuentras una memoria USB desconocida

La recomendación más sencilla es también la más efectiva: no conectarla nunca a un equipo personal o corporativo.

Si realmente existe interés en comprobar el contenido, lo adecuado sería utilizar un entorno completamente aislado. En laboratorios de ciberseguridad se emplean máquinas virtuales desconectadas, sistemas “sandbox” o equipos específicamente preparados para análisis forense.

Incluso así, el riesgo nunca desaparece por completo. Algunos ataques pueden aprovechar vulnerabilidades del hipervisor, firmware comprometido o fallos eléctricos imposibles de contener mediante software.

Las empresas suelen utilizar además bloqueadores USB físicos, políticas de ejecución restringida y soluciones EDR capaces de monitorizar comportamiento sospechoso en tiempo real. En entornos industriales o gubernamentales es habitual que los puertos USB permanezcan deshabilitados por hardware.

Otro aspecto importante es evitar conectar cargadores, cables o adaptadores USB desconocidos. El auge del USB-C ha multiplicado la complejidad de estos dispositivos y algunos modelos pueden incluir chips ocultos con capacidades de espionaje. Un artículo reciente de PCWorld analiza precisamente cómo determinados cables USB-C pueden ocultar hardware malicioso capaz de interceptar datos o controlar dispositivos.

Las empresas ya tratan el USB como una amenaza crítica

En el ámbito corporativo, las memorias USB han pasado de ser herramientas cómodas de transporte de archivos a convertirse en un riesgo operativo importante. Muchas organizaciones han prohibido directamente su uso salvo dispositivos cifrados y certificados.

Algunas unidades profesionales incorporan cifrado AES de 256 bits por hardware, protección contra manipulación física y certificaciones FIPS 140-2. Modelos como los IronKey fueron diseñados específicamente para entornos gubernamentales y militares.

Aun así, los investigadores siguen encontrando vulnerabilidades incluso en dispositivos considerados muy seguros. Un estudio técnico sobre los pendrives IronKey publicado en arXiv analizó posibles debilidades físicas y de diseño en varias generaciones de estos productos.

La tendencia actual apunta hacia sistemas donde el intercambio de archivos se realiza mediante plataformas cifradas en la nube en lugar de soportes físicos. Sin embargo, el USB sigue siendo imprescindible en muchos sectores industriales, médicos y técnicos, especialmente allí donde no existe conectividad permanente.

La amenaza continúa creciendo

Aunque muchos usuarios piensan que estas técnicas pertenecen al pasado, la realidad es justo la contraria. Los dispositivos USB maliciosos son ahora más baratos, pequeños y accesibles que hace diez años.

Plataformas de hardware programable permiten crear herramientas de ataque por menos de 30 euros. Algunos kits pueden programarse para ejecutar scripts complejos, robar credenciales o abrir puertas traseras persistentes en segundos.

Además, el crecimiento del teletrabajo y la mezcla entre dispositivos personales y corporativos ha ampliado enormemente la superficie de ataque. Un simple pendrive conectado en casa puede terminar comprometiendo posteriormente una red empresarial mediante VPN o sincronización de credenciales.

La conclusión es bastante clara: el USB sigue siendo uno de los vectores físicos más efectivos para comprometer sistemas informáticos. Y lo más preocupante es que muchos ataques continúan funcionando gracias a la curiosidad humana más que a la sofisticación técnica.

Reflexiones finales

Las memorias USB forman parte del día a día desde hace más de dos décadas y precisamente esa familiaridad hace que mucha gente subestime los riesgos asociados. El problema no está únicamente en el malware tradicional, sino en la capacidad de estos dispositivos para comportarse como hardware activo con funciones ocultas.

La advertencia de MakeUseOf resulta especialmente relevante porque recuerda algo básico que muchos usuarios olvidan: conectar un dispositivo desconocido equivale a otorgarle acceso directo al sistema. En un contexto donde los ataques de ingeniería social son cada vez más sofisticados, incluso un objeto aparentemente trivial puede convertirse en una puerta de entrada para robo de datos, sabotaje o espionaje.

La mejor defensa sigue siendo la prudencia. Si una memoria USB aparece en un lugar extraño o tiene un origen desconocido, lo más seguro es tratarla como potencialmente peligrosa.