Pendrives y discos infectados: ¿por qué enchufar uno en tu portátil es una mala idea?

Pendrives y discos infectados: ¿por qué enchufar uno en tu portátil es una mala idea?

Una memoria USB encontrada casi siempre provoca la misma tentación: conectarla al ordenador y ver qué contiene. Quizá hay fotos, documentos, el trabajo de otra persona o algo importante para el propietario. El problema es que muchos ataques mediante USB se basan precisamente en esa curiosidad. Para un atacante, una memoria dejada cerca de la oficina, en una sala de reuniones, en el aparcamiento o junto a la entrada puede no ser una pérdida, sino una trampa.

El peligro no se limita a un virus en una carpeta. La unidad dañina puede contener documentos infectados, accesos directos, scripts, archivos comprimidos, instaladores, imágenes de disco e incluso firmware que hace que el dispositivo se comporte no como una memoria, sino como un teclado o un adaptador de red. Por eso la regla es sencilla: no conecte un dispositivo desconocido al ordenador del trabajo o personal por simple curiosidad. La curiosidad aquí resulta demasiado cara.

Qué puede haber en la memoria USB encontrada

El usuario común suele imaginar la amenaza así: en la memoria hay un archivo virus.exe, se ejecuta y el ordenador se infecta. Ese escenario es posible, pero los ataques modernos son menos directos. Un archivo malicioso puede disfrazarse de documento, archivo comprimido, acceso directo o instalador. A veces basta con abrir un archivo en un programa vulnerable, aceptar la ejecución de macros, descomprimir un archivo o pulsar un acceso directo con un nombre atractivo.

En la unidad pueden encontrarse:

  • accesos directos .lnk: parecen una carpeta o un documento, pero ejecutan un comando, un script o un archivo malicioso;
  • documentos de oficina: especialmente peligrosos son los archivos con macros, por ejemplo .docm y .xlsm;
  • scripts: .js, .vbs, .ps1, .bat y .cmd pueden ejecutar comandos en el sistema;
  • imágenes de disco: .iso y .img a veces se usan para eludir las precauciones habituales del usuario;
  • archivos comprimidos: dentro puede haber un ejecutable, un acceso directo o un documento con contenido malicioso;
  • instaladores falsos: por ejemplo un controlador, una actualización, un visualizador de documentos o una utilidad de recuperación.

Una categoría aparte es BadUSB. En este tipo de ataque el peligro no está solo en los archivos, sino en el comportamiento del propio dispositivo. El gadget USB puede identificarse ante el ordenador como un teclado y escribir comandos muy rápido, abrir una terminal, PowerShell o el navegador, descargar un archivo y cambiar configuraciones. El usuario ve una memoria, pero el sistema detecta un nuevo dispositivo de entrada. El antivirus no siempre reacciona a tiempo porque el ataque aprovecha el mecanismo legítimo del USB.


Por qué la autoejecución ya no protege

Muchos recuerdan las viejas historias sobre autorun.inf, cuando el código malicioso se ejecutaba casi inmediatamente tras conectar la memoria. En las versiones modernas de Windows ese escenario está más limitado y la autoejecución para medios extraíbles se configura por separado. Pero eso no significa que conectar una memoria ajena sea seguro. La amenaza se ha desplazado: ahora los atacantes suelen confiar en las acciones del usuario, en vulnerabilidades de programas, en accesos directos, scripts y en falsear el tipo de dispositivo USB.

En Windows conviene comprobar «Configuración» > «Bluetooth y dispositivos» > «Reproducción automática». Para medios extraíbles es más seguro elegir una acción que no abra el contenido automáticamente. Pero esto es solo una capa de protección. Microsoft Defender puede analizar discos extraíbles, y una memoria concreta se puede escanear desde el Explorador: clic derecho sobre la unidad, luego «Mostrar más opciones» y Analizar con Microsoft Defender, si esa opción está disponible en el sistema.

En macOS el riesgo también existe. Sí, el sistema no tiene el autoarranque típico de Windows, y Gatekeeper y XProtect dificultan la ejecución de amenazas conocidas. Pero un documento infectado, un instalador malicioso, un archivo comprimido, un script o un dispositivo que actúe como teclado siguen siendo un problema. Para comprobar y borrar medios externos se usa la Utilidad de Discos, pero hay que formatear solo una unidad que esté dispuesto a limpiar por completo.

En Linux el arranque automático de archivos maliciosos suele ser menos probable, pero no se puede hablar de seguridad total. El propio usuario puede ejecutar un script shell, abrir un documento infectado, montar una imagen sospechosa, conectar un dispositivo que se presente como teclado o trabajar con una cuenta con privilegios excesivos. En un servidor o en la estación de trabajo de un desarrollador una memoria encontrada es especialmente peligrosa: allí pueden estar claves SSH, tokens, código fuente y accesos a la infraestructura.

Qué puede ocurrir después de conectar

Las consecuencias dependen del tipo de ataque. El escenario más benigno es que el antivirus detecte el archivo malicioso y lo ponga en cuarentena. El escenario desagradable es que el usuario abra un documento o un acceso directo y, como resultado, aparezca en el sistema un troyano, un robador de credenciales, una puerta trasera o un ransomware. El peor escenario para una empresa es que la unidad infectada se convierta en un punto de entrada a la red corporativa.

A través de una memoria encontrada pueden intentar:

  • robar contraseñas de navegadores, mensajería, clientes de correo y programas FTP;
  • obtener archivos del escritorio, de «Documentos» y de carpetas de red;
  • instalar un programa de acceso remoto;
  • lanzar un cifrador y encriptar archivos locales y en red;
  • conectar el equipo a una botnet;
  • acceder a la VPN corporativa si en la máquina hay credenciales guardadas;
  • usar el equipo como punto intermedio para atacar otros sistemas.

La memoria USB es peligrosa también porque parece inofensiva. Un correo con adjunto se puede marcar como spam, un enlace se puede evitar, pero un dispositivo físico crea la sensación de algo tangible: si está delante, parece que simplemente se ha perdido. Por eso estos señuelos se utilizan con frecuencia en pruebas de ingeniería social. La gente conecta dispositivos encontrados, aun sabiendo las reglas.

Qué hacer si encuentra una memoria USB o un disco

La acción correcta depende del lugar. Si el dispositivo se encuentra en la oficina, centro empresarial, universidad, hospital o en las instalaciones de una empresa, no lo conecte a su equipo. Entregue el dispositivo al administrador, al departamento de seguridad de la información, a la seguridad física o a objetos perdidos. Si en su trabajo existe un protocolo interno sobre medios extraíbles, sígalo. En las grandes empresas los dispositivos USB suelen comprobarse en un equipo aislado o se prohíbe conectarlos a las estaciones de trabajo.

Si la memoria se encontró en casa, en la entrada del edificio o en la calle, la opción más segura es no revisar su contenido. La intención de encontrar al propietario es comprensible, pero no vale la pena arriesgar el portátil por un dispositivo desconocido. Si es imprescindible ver su contenido, use un ordenador separado sin datos importantes, sin acceso a la red de trabajo y sin contraseñas guardadas. No es una protección perfecta, pero es mejor que conectar la unidad al equipo principal.

  1. No inserte una unidad encontrada en el ordenador del trabajo.
  2. No abra archivos desde una memoria desconocida con doble clic.
  3. No ejecute instaladores, scripts, accesos directos ni documentos con macros.
  4. No conecte el dispositivo a un equipo que tenga cliente bancario, VPN corporativa, claves SSH o correo de trabajo.
  5. Si la unidad se encuentra en una organización, entréguela al responsable de TI o de seguridad de la información.
  6. Si solo necesita el soporte como medio vacío, es mejor borrarlo por completo en una máquina aislada.

Cómo comprobar de forma más segura un dispositivo desconocido

Una comprobación segura no convierte el dispositivo en inofensivo; solo reduce el riesgo. Para uso doméstico es más sensato emplear un portátil viejo sin archivos personales ni cuentas. Para la empresa, una estación de comprobación separada sin acceso a la red interna. Si hay sospecha de BadUSB, incluso esa verificación no es ideal: el dispositivo puede atacar el equipo en el momento de la conexión.

Método Qué aporta Limitación
Comprobación antivirus Detecta archivos maliciosos conocidos No protege contra BadUSB ni contra amenazas nuevas
Ordenador aislado Reduce el riesgo para el sistema principal y los datos de trabajo El propio equipo aislado aún puede infectarse
Sistema en vivo desde USB o DVD Permite ver archivos fuera del sistema operativo principal No resuelve el problema del firmware malicioso del dispositivo
Bloqueador de escritura hardware Ayuda a leer el disco sin escribir en él No es necesario para todos; se usa más en criminalística
Formateo completo Elimina archivos de la unidad No garantiza protección contra firmware alterado del dispositivo USB

En Windows, antes de comprobar desconecte la reproducción automática para medios extraíbles, no abra la unidad desde la ventana emergente y ejecute el análisis manualmente. En macOS, para borrar por completo use la Utilidad de Discos: seleccione el dispositivo externo, pulse «Borrar» y elija el formato. En Linux se puede montar el medio sin ejecutar archivos y comprobar el contenido con un antivirus, pero eso ya es para un usuario que conoce los comandos mount, lsblk y los permisos.

Si en la memoria hay fotos o documentos, no los abra de inmediato con el programa principal. Primero verifique las extensiones de archivo y active la visualización de extensiones en el sistema. Un archivo Foto.jpg.exe o Documentos.pdf.lnk debe provocar no curiosidad, sino cerrar la ventana y entregar la unidad a un especialista. Extreme la precaución con archivos comprimidos protegidos por contraseña: al antivirus le resulta más difícil verificar el contenido antes de la extracción.

Cómo proteger sus memorias USB y discos externos

El problema también funciona en sentido inverso. Su propio dispositivo puede perderse. Si contiene documentos, escaneos, copias de seguridad, claves, fotos, bases de clientes o archivos de trabajo, que otra persona lo encuentre puede convertirse en una fuga de datos. Por eso es mejor considerar la unidad extraíble como un punto débil y no como una caja cómoda para todo.

  • cifre las memorias importantes y los discos externos;
  • no guarde en ellos contraseñas, claves ni copias de seguridad sin cifrar;
  • etiquete las unidades para que una persona honesta pueda devolverlas sin revisar los archivos;
  • no use la misma memoria para el equipo doméstico, el portátil de trabajo y dispositivos aleatorios;
  • analice la unidad con un antivirus tras usarla en un equipo ajeno;
  • para transferir archivos en el trabajo, mejor utilice la nube corporativa o un canal protegido acordado.

En Windows se puede usar BitLocker To Go si la edición del sistema lo admite. En macOS sirve un volumen APFS cifrado mediante la Utilidad de Discos. En Linux se suele usar LUKS. Los nombres suenan técnicos, pero la idea es simple: si la memoria se pierde, una persona no podrá ver su contenido sin la contraseña.

Preguntas frecuentes

¿Puedo simplemente insertar la memoria y no abrir nada? Mejor no. El hecho mismo de conectar puede ser peligroso si el dispositivo actúa como teclado, adaptador de red u otro gadget USB. En el caso de una memoria común el riesgo es menor, pero no se puede saberlo de antemano.

¿El antivirus comprobará totalmente la memoria encontrada? Puede detectar archivos maliciosos conocidos, pero no garantiza protección frente a todos los escenarios. El antivirus no convierte un dispositivo USB desconocido en algo de confianza.

¿Formatear hace segura la memoria? Borra archivos, pero no resuelve el problema de un firmware malicioso o de un dispositivo que se hace pasar por teclado. Para una memoria barata encontrada, lo más simple es no arriesgarse.

¿Puedo conectar un SSD externo encontrado? El riesgo es el mismo o incluso mayor: en el disco puede haber más archivos, imágenes, archivos comprimidos y datos ajenos. Un mayor volumen no hace que el dispositivo sea más seguro.

¿Cómo devolver la memoria a su dueño? Es mejor entregarla a la administración del lugar donde se encontró, a seguridad, al objeto perdido o al servicio de TI. No abra archivos para buscar contactos si el dispositivo se encontró en un entorno laboral o público.

Conclusión breve: una unidad USB encontrada no se puede considerar un objeto sin riesgo. Puede ser un medio con archivos maliciosos, una herramienta BadUSB o simplemente un disco ajeno con datos personales. Es más seguro no conectarlo en absoluto que luego averiguar por qué el equipo se convirtió en un punto de entrada para un ataque.

Alt text