Login Probar gratis
Malware por USB: por qué nunca deberías conectar un pendrive desconocido

Malware por USB: por qué nunca deberías conectar un pendrive desconocido

por MataSpam Malware y Virus

Imagina que vas por la calle y te encuentras un pendrive tirado en el suelo. Bonito, brillante, misterioso. Tu cerebro dice: "¿Y si tiene algo interesante?" Tu sentido común debería gritar: "¡NI SE TE OCURRA!" Porque ese pequeño dispositivo podría estar cargado de malware USB, listo para convertir tu ordenador en un parque de atracciones para ciberdelincuentes. El virus pendrive no es cosa del pasado: en 2024, el informe de Mandiant reveló que campañas como SOGU y SNOWYDRIVE seguían usando USB infectado como vector de ataque principal contra infraestructuras críticas. Y no hablemos del Rubber Ducky, ese aparatito con cara de memoria USB que en realidad es un teclado programado para destrozarte la vida digital en cinco segundos. Hoy en MataSpam te contamos por qué un ataque USB sigue siendo una de las amenazas más subestimadas — y más efectivas — de la ciberseguridad moderna.

Cómo funciona el malware por USB: más allá del autorun

Los veteranos de la informática recordarán los tiempos en que Windows ejecutaba automáticamente el archivo autorun.inf de cualquier dispositivo USB que conectaras. Aquello era una fiesta para el malware USB, tan fácil como dejar un caramelo envenenado en la puerta de un colegio. Microsoft desactivó el autorun por defecto a partir de Windows 7, pero los atacantes no se quedaron llorando en una esquina: evolucionaron.

Hoy, las técnicas de ataque USB son bastante más sofisticadas:

  • Exploits de firmware: El ataque BadUSB, presentado en Black Hat 2014 por Karsten Nohl, demostró que se puede reprogramar el firmware del controlador USB para que el dispositivo se haga pasar por un teclado, una tarjeta de red o cualquier otro periférico. Y no, tu antivirus no lo detecta porque el sistema operativo confía ciegamente en lo que el USB dice ser.
  • HID spoofing: Dispositivos como el Rubber Ducky de Hak5 se identifican como un teclado USB (Human Interface Device). En cuanto los conectas, ejecutan una secuencia de pulsaciones de teclas preprogramada a velocidad sobrehumana: abren una terminal, descargan malware, crean puertas traseras... todo en menos de lo que tardas en decir "¿qué es esto?".
  • USB Killer: Este ni siquiera necesita software. Es un dispositivo que carga los condensadores con la corriente del puerto USB y luego descarga 220V directamente en la placa base. Adiós ordenador, hola factura de hardware.
  • Drop attacks (ataques de abandono): Consisten en dejar pendrives "perdidos" en aparcamientos, cafeterías o vestíbulos de empresas. Un estudio de la Universidad de Illinois en 2016 demostró que el 48% de las personas que encontraron un USB abandonado lo conectaron a su ordenador, y el 68% lo hizo sin tomar ninguna precaución.

La clave es entender que un USB infectado no necesita que hagas doble clic en nada. En muchos casos, con solo enchufarlo ya has perdido el control.

Rubber Ducky y sus primos: hardware ofensivo al alcance de cualquiera

El Rubber Ducky merece su propia sección porque ha democratizado los ataques USB de una forma que da escalofríos. Creado por Hak5 como herramienta de pentesting, este dispositivo con aspecto de pendrive inocente cuesta unos 80 dólares y se programa con un lenguaje de scripting propio llamado DuckyScript. Cualquiera con conocimientos básicos puede crear un payload que:

  1. Abra PowerShell en modo oculto
  2. Descargue un reverse shell desde un servidor remoto
  3. Desactive Windows Defender
  4. Cree un usuario administrador oculto
  5. Limpie los logs del sistema

Todo esto en menos de 10 segundos. Y como el sistema operativo lo ve como un teclado legítimo, no salta ninguna alarma. Ni antivirus, ni firewall, ni el departamento de IT que está tomando café.

Si te interesa este tema, te recomendamos leer nuestro artículo sobre Scareware: los falsos antivirus que te asustan para estafarte, donde profundizamos en aspectos clave relacionados.

Pero el Rubber Ducky no está solo. El ecosistema de hardware ofensivo USB incluye:

  • Bash Bunny: También de Hak5, combina las capacidades de un Rubber Ducky con las de una tarjeta de red Ethernet y almacenamiento masivo. Puede exfiltrar datos mientras simula ser un adaptador de red.
  • O.MG Cable: Un cable USB que parece completamente normal (porque es un cable real modificado) pero lleva un implante Wi-Fi que permite ejecutar comandos de forma remota. Sí, el cable de carga que te prestó tu "amigo" podría ser un vector de ataque USB.
  • USBNinja: Similar al O.MG, pero con soporte para Bluetooth, lo que permite controlar el payload a distancia desde un móvil.

El problema de fondo es que el protocolo USB fue diseñado en los años 90 para ser cómodo y universal, no seguro. No existe autenticación real entre el dispositivo y el host: si dice que es un teclado, el ordenador se lo cree. Punto. Es como si dejaras entrar en tu casa a cualquiera que llame al timbre diciendo que es el cartero.

Casos reales: cuando un pendrive tumba una empresa (o un país)

Si crees que el malware USB es cosa de películas de hackers, aquí tienes algunos casos reales que quitan el sueño:

Stuxnet (2010): El gusano más famoso de la historia llegó a las centrifugadoras nucleares de Irán a través de un USB infectado. Las instalaciones de Natanz estaban aisladas de Internet (air-gapped), así que alguien — probablemente servicios de inteligencia estadounidenses e israelíes — introdujo el malware mediante un pendrive. El resultado: el 20% de las centrifugadoras de uranio iraníes destruidas. Un virus pendrive cambió la geopolítica mundial.

Agent.BTZ (2008): Un soldado estadounidense encontró un pendrive en un aparcamiento de una base militar en Oriente Medio y lo conectó a un ordenador clasificado de la red del Departamento de Defensa. El ataque USB infectó sistemas del Pentágono y tardaron 14 meses en limpiarlo. Este incidente dio origen a la operación Buckshot Yankee y a la creación del US Cyber Command.

Campaña SOGU/SNOWYDRIVE (2023-2024): Documentada por Mandiant (ahora parte de Google), estas campañas de espionaje atribuidas a actores chinos usaban pendrives infectados distribuidos en eventos tecnológicos y conferencias. El malware se propagaba automáticamente a cualquier USB conectado al sistema infectado, creando una cadena de infección exponencial.

Raspberry Robin (2022-2024): Un gusano que se propaga a través de dispositivos USB y que Microsoft identificó como precursor de ataques de ransomware. Detectado por primera vez por Red Canary, este malware USB usa archivos .lnk maliciosos en pendrives para infectar sistemas Windows y descargar payloads adicionales, incluyendo FakeUpdates, Cobalt Strike y, finalmente, ransomware como Clop o LockBit.

Si te interesa este tema, te recomendamos leer nuestro artículo sobre Emotet: la historia del malware más peligroso y sus resurreciones constantes, donde profundizamos en aspectos clave relacionados.

Cómo protegerte: guía práctica anti-pendrive maldito

Vale, ya te hemos asustado bastante. Ahora la parte constructiva. Aquí tienes las medidas reales para protegerte de un ataque USB:

Para usuarios individuales:

  • Regla número uno: NO conectes pendrives desconocidos. Nunca. Jamás. Ni aunque tenga una etiqueta que diga "Fotos de gatitos". Especialmente si dice eso.
  • Desactiva la reproducción automática: En Windows, ve a Configuración → Dispositivos → Reproducción automática y desactívala. En Linux, configura udev rules para bloquear dispositivos USB no autorizados.
  • Usa un "preservativo USB": Existen adaptadores USB que solo permiten la carga eléctrica pero bloquean los pines de datos. Útil cuando cargas el móvil en puertos USB públicos (aeropuertos, hoteles, cafeterías). El ataque de cargar malware por puertos de carga públicos se llama juice jacking.
  • Analiza siempre con VirusTotal: Si por alguna razón de fuerza mayor necesitas abrir un archivo de un USB sospechoso, súbelo primero a VirusTotal para analizarlo con más de 70 motores antivirus.
  • Mantén tu sistema actualizado: Muchos exploits USB aprovechan vulnerabilidades conocidas (como CVE-2017-8464, la vulnerabilidad de accesos directos .lnk que usó Stuxnet en su día). Los parches existen por algo.

Para empresas y organizaciones:

  • Políticas de control de dispositivos: Herramientas como Microsoft Defender for Endpoint, CrowdStrike Falcon o Symantec Endpoint Protection permiten crear listas blancas de dispositivos USB autorizados y bloquear todos los demás.
  • Desactivar puertos USB físicamente: En entornos de alta seguridad, se sellan los puertos USB con bloqueadores físicos o se desactivan desde la BIOS.
  • Formación y concienciación: El 48% de la gente enchufa pendrives desconocidos, recuerda. La formación periódica en ciberseguridad es la mejor inversión contra la ingeniería social.
  • Estaciones de análisis aisladas: Si tu empresa necesita recibir USBs externos (por ejemplo, documentación de clientes), usa un ordenador aislado sin conexión a la red — una "estación de cuarentena" — con antivirus actualizado y sistema operativo Linux para el análisis previo.
  • Monitorización de eventos USB: Configura tu SIEM para alertar cuando se conecten dispositivos HID inesperados. Si a las 3 de la madrugada se conecta un "teclado" nuevo en el servidor de producción, algo no huele bien.

Preguntas frecuentes

¿Puede un antivirus detectar un Rubber Ducky u otro dispositivo HID malicioso?

No de forma nativa. Un Rubber Ducky se presenta al sistema como un teclado USB estándar, y los antivirus no analizan las pulsaciones de tecla de un dispositivo HID. Existen herramientas especializadas como USBGuard (Linux) o GoodUSB que pueden detectar dispositivos HID sospechosos — por ejemplo, si un "teclado" se conecta y empieza a escribir 3.000 caracteres por segundo, algo raro pasa. Pero la mayoría de antivirus comerciales estándar no cubren este vector.

¿Es seguro usar puertos USB públicos para cargar el móvil?

No es lo más recomendable. El juice jacking es un riesgo real: un puerto USB público manipulado puede intentar transferir datos mientras cargas tu dispositivo. La solución más sencilla es usar un adaptador de solo carga (USB data blocker), tu propio cargador conectado a un enchufe eléctrico estándar, o una batería externa. El FBI emitió una alerta sobre esto en 2023, así que no es paranoia: es sentido común.

¿Los Mac y Linux son inmunes al malware USB?

Rotundamente no. Aunque la mayoría de virus pendrive tradicionales están diseñados para Windows, los ataques de tipo HID (como el Rubber Ducky) funcionan en cualquier sistema operativo. Un script de DuckyScript puede detectar el SO y ejecutar comandos específicos para macOS o Linux. Stuxnet también afectaba a sistemas SCADA con componentes no-Windows. Ningún sistema operativo es inmune a un USB infectado a nivel de hardware.

¿Qué hago si ya conecté un pendrive sospechoso?

Primero, no entres en pánico (bueno, un poco sí). Desconecta el USB inmediatamente. Desconecta el ordenador de la red (Wi-Fi y cable). Ejecuta un análisis completo con tu antivirus. Si sospechas que el dispositivo era un HID malicioso, revisa los procesos en ejecución, las conexiones de red activas (netstat -ano en Windows, ss -tulpn en Linux) y busca usuarios nuevos o tareas programadas que no reconozcas. En caso de duda, cambia todas las contraseñas desde otro dispositivo y considera restaurar el sistema desde una copia de seguridad limpia.

¿Un pendrive puede infectar un ordenador apagado?

No directamente, pero sí puede afectar al arranque. Algunos ataques modifican el orden de boot en la BIOS/UEFI o usan dispositivos USB que se alimentan del voltaje residual del puerto para ejecutar acciones cuando el sistema se enciende. Además, si la BIOS está configurada para arrancar desde USB, un pendrive malicioso podría cargar un sistema operativo modificado al encender el equipo. Revisa tu configuración de arranque y desactiva el boot desde USB si no lo necesitas.

Conclusión: el USB es el caballo de Troya del siglo XXI

El malware USB lleva décadas siendo un vector de ataque efectivo, y dispositivos como el Rubber Ducky o el O.MG Cable han elevado la amenaza a niveles que rozan la ciencia ficción. La buena noticia es que protegerte no requiere un máster en ciberseguridad: basta con aplicar sentido común, desconfiar de dispositivos desconocidos y mantener tus sistemas actualizados. En MataSpam nos dedicamos a protegerte del spam y las amenazas por email con inteligencia artificial, pero sabemos que la seguridad es un ecosistema completo. Si te ha parecido útil este artículo, explora el resto de nuestro blog: tenemos guías sobre phishing, ransomware, privacidad digital y mucho más para que navegues seguro por este mundo digital tan hostil. Porque ya sabes: en ciberseguridad, la paranoia no es un defecto, es una virtud.

malware usb virus pendrive usb infectado rubber ducky ataque usb
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Backdoors: puertas traseras que permiten el acceso remoto a tu sistema
Malware y Virus

Backdoors: puertas traseras que permiten el acceso remoto a tu sistema

Cryptominers: cuando tu ordenador mina criptomonedas sin tu permiso
Malware y Virus

Cryptominers: cuando tu ordenador mina criptomonedas sin tu permiso

Qué es el ransomware y cómo funciona: todo lo que necesitas saber
Malware y Virus

Qué es el ransomware y cómo funciona: todo lo que necesitas saber

← Volver al blog