Las memorias USB y otros discos externos se han convertido en el “bolsillo digital” de prácticamente todo el mundo: son baratas, caben en cualquier parte y permiten mover gigas de datos sin depender de Internet ni de la nube. A primera vista todo son ventajas, pero la cara B es que también son una de las vías de entrada favoritas para el malware, capaces de llevar un virus de un equipo infectado a otro sano sin que nos demos cuenta.
Cuando conectamos una unidad USB a un ordenador comprometido, es muy posible que el malware se copie automáticamente al dispositivo y viaje con él a cualquier otro PC donde lo enchufemos. Esto hace que las amenazas por USB sean igual de peligrosas que muchos ataques online, con el agravante de que pueden propagarse incluso en equipos que nunca se han conectado a Internet. Por suerte, hay muchas estrategias, tanto técnicas como de sentido común, que podemos aplicar para protegernos.
Cómo se infectan los USB y por qué son tan peligrosos
La mayoría de virus, troyanos y demás malware modernos incluyen rutinas específicas para propagarse en cuanto detectan una nueva unidad extraíble. En cuanto enchufamos un pendrive o disco duro externo a un PC infectado, el código malicioso intenta copiarse a su interior, crear archivos ocultos, instalar un autorun.inf malicioso o suplantar carpetas por accesos directos.
Esta técnica tiene dos objetivos claros: por un lado, lograr que el USB infecte automáticamente el siguiente ordenador donde se conecte, y por otro, aprovechar equipos sin conexión a Internet (como sistemas industriales, ordenadores de oficina aislados o equipos críticos) que de otro modo estarían relativamente a salvo de la mayoría de amenazas online.
Aunque hoy en día casi todos contamos con un antivirus residente (incluido el propio Windows Defender en Windows 10 y 11), si lo tenemos desactivado, mal configurado o desactualizado, el riesgo se dispara. En estos casos, un simple gesto de meter un USB desconocido puede acabar con el sistema comprometido, robo de datos o incluso daños en el propio hardware.
Existen ataques documentados en los que un USB aparentemente inocente ha provocado incidentes muy serios. Un ejemplo clásico son los casos de centrales eléctricas y otros entornos industriales donde un empleado introdujo un pendrive infectado y el malware consiguió infiltrarse en redes que, en teoría, estaban aisladas de Internet.
Signos de que una memoria USB puede estar infectada
Detectar a tiempo un USB sospechoso es clave para no arrastrar la infección de un equipo a otro. Hay una serie de síntomas bastante típicos que deberían ponernos sobre aviso en cuanto conectamos la unidad, y podemos complementar la vigilancia con herramientas como PowerShell para detectar eventos USB.
Uno de los indicios más frecuentes es que aparezcan dos carpetas con el mismo nombre o veamos accesos directos donde antes había carpetas normales. Muchos virus de “acceso directo” ocultan los archivos legítimos en una carpeta protegida y los sustituyen por accesos directos que lanzan el malware al hacer doble clic.
También resulta sospechoso que el icono de la unidad extraíble cambie (por ejemplo, se muestre como carpeta en lugar de como disco) o que la memoria muestre opciones extrañas al hacer clic derecho, con entradas de menú que no tenían por qué estar ahí. Estos pequeños detalles suelen delatar la presencia de código malicioso asociado a la unidad.
Otro comportamiento preocupante es que, al intentar abrir el USB, el sistema muestre mensajes de error, pida “abrir con…” o se comporte de forma anómala. Si además tu ordenador empieza a ir excesivamente lento tras enchufar la memoria, se bloquea con frecuencia o aparecen ventanas emergentes y banners raros mientras navegas o trabajas, es muy posible que el malware haya saltado del pendrive al sistema.
En algunos casos extremos, los virus llegan a desactivar el antivirus o funciones de seguridad de Windows, cambiar la configuración del sistema, añadir claves en el registro o introducir nuevos programas que no recuerdas haber instalado. Todo ello orientado a tomar el control, robar información, registrar pulsaciones de teclado (keyloggers), activar cámara o micrófono sin permiso o abrir puertas traseras para un control remoto del equipo.
Cómo evitar que tu USB se infecte sin instalar más programas
Además de utilizar un buen antivirus, Windows nos da algunas herramientas administrativas muy potentes para blindar nuestras memorias USB y reducir al mínimo las posibilidades de infección, incluso sin recurrir a aplicaciones de terceros, como bloquear puertos USB con regedit.
Una de las técnicas más eficaces consiste en formatear la unidad en sistema de archivos NTFS y modificar sus permisos de seguridad para limitar la escritura. Esta posibilidad solo está disponible en NTFS, no en FAT32 ni exFAT, por lo que el primer paso será formatear el pendrive (previa copia de seguridad de todo lo importante) y elegir NTFS como formato.
Una vez tengamos el USB en NTFS, podemos ir a “Este equipo”, hacer clic derecho en la unidad, entrar en “Propiedades” y abrir la pestaña “Seguridad”. Ahí veremos los grupos y usuarios con acceso a la unidad. Si seleccionamos el grupo “Todos” y pulsamos en “Editar”, podremos ajustar las casillas de permisos para que solo se permita la lectura y se deniegue la escritura.
La combinación más recomendable para un USB “blindado” es dejar marcado “Permitir: Lectura” y marcar “Denegar: Escritura”. Windows avisará de que los permisos de denegación tienen prioridad, lo aceptamos y dejamos que aplique los cambios. A partir de ese momento, cualquier ordenador donde conectemos el USB podrá leer su contenido pero no escribir en la raíz de la unidad.
Esta configuración es un arma de doble filo: por un lado, impide que los virus se copien automáticamente en la raíz del USB, pero por otro también evita que nosotros mismos podamos guardar nuevos archivos desde otros equipos. Siempre podremos revertir los permisos desde un PC de confianza cuando necesitemos modificar el contenido, pero hay que acordarse de hacerlo en un entorno limpio.
Truco: carpeta “segura” para seguir usando el USB
Si queremos seguir utilizando el pendrive de forma relativamente cómoda pero manteniendo la protección frente a malware, podemos recurrir a un truco intermedio con carpetas. La idea es bloquear la raíz de la unidad pero habilitar una carpeta concreta con permisos de escritura.
Antes de tocar los permisos de la unidad, creamos en el USB una carpeta nueva con el nombre que queramos (por ejemplo, “Datos” o “Seguro”). Después aplicamos a la raíz del USB los permisos de solo lectura que hemos comentado antes. Una vez hecho esto, vamos a las propiedades de la carpeta que acabamos de crear, abrimos la pestaña Seguridad y editamos sus permisos.
En esa carpeta, en lugar de limitar la escritura, marcaremos la opción “Control total” para nuestro usuario o para el grupo que corresponda. De esta forma, la raíz del USB seguirá protegida frente a escrituras y creaciones de archivos (donde suelen intentar colocarse los virus y el autorun), pero dentro de esa carpeta concreta podremos copiar, modificar y borrar archivos con normalidad.
El motivo por el que este truco funciona tan bien es que la mayoría del malware que aprovecha USBs maliciosos no se limita a usar carpetas personales ya creadas, sino que intenta generar sus propias carpetas ocultas y un archivo autorun.inf malicioso en la raíz. Al tener esa zona bloqueada, dificultamos que se ejecute automáticamente en otros equipos, mientras seguimos aprovechando el pendrive casi como siempre.
Eso sí, no hay que olvidar que esta protección no es mágica: si trabajamos en ordenadores muy comprometidos o descargamos archivos peligrosos dentro de la carpeta “segura”, seguirá habiendo riesgo. Pero como capa adicional frente a los típicos gusanos de USB, es una medida muy interesante.
Cifrar y proteger con contraseña tus unidades USB
Otra barrera muy efectiva contra el malware (y contra fisgones) es cifrar el contenido de la memoria USB. El cifrado convierte todos los datos de la unidad en información ilegible si no se dispone de la contraseña o clave de descifrado, lo que impide tanto el acceso no autorizado como la modificación de los archivos mientras la unidad esté bloqueada. Si quieres un tutorial práctico, puedes ver cómo funciona BitLocker To Go.
En Windows 10 y 11 (salvo en la edición Home) disponemos de una herramienta integrada llamada BitLocker. Para utilizarla con un USB, basta con conectar la unidad, hacer clic derecho sobre ella y elegir la opción “Activar BitLocker”. El asistente nos guiará para establecer una contraseña, elegir cómo guardar la clave de recuperación y completar el proceso.
BitLocker puede requerir formatear la unidad, así que conviene copiar previamente todo lo importante. Una vez cifrado el USB, cada vez que lo conectemos a un equipo compatible, Windows nos pedirá la contraseña antes de montarlo con acceso de lectura y escritura. Mientras no lo desbloqueemos, cualquier intento de acceso (incluido el de un malware residente) se encontrará con una unidad cifrada.
La gran ventaja de este enfoque es que, si perdemos el pendrive o nos lo roban, nadie podrá ver ni manipular su contenido sin la clave. La gran desventaja, eso sí, es que si olvidamos la contraseña y la clave de recuperación, no hay manera práctica de recuperar los datos; el cifrado está precisamente diseñado para que sea irrompible.
Además de BitLocker, existen otras soluciones de cifrado de terceros, pero no todas son igual de robustas ni se integran tan bien en el sistema. Algunas incluso se pueden desactivar simplemente cerrando la aplicación. Por eso, cuando es posible, apoyarse en las herramientas nativas del sistema operativo suele ser la opción más segura y menos propensa a errores.
Medidas básicas de higiene digital con memorias USB
Más allá de los trucos técnicos, hay una serie de buenas prácticas de sentido común que marcan la diferencia a la hora de protegerse contra USBs maliciosos. Son medidas sencillas, pero muy eficaces si las convertimos en costumbre.
La primera recomendación es evitar, en la medida de lo posible, usar pendrives en equipos desconocidos o poco fiables, como ordenadores públicos, cibercafés o PCs de amigos sin antivirus actualizado. Cada vez que conectamos una memoria en un entorno así, aumentan las probabilidades de que recoja algún tipo de malware.
También deberíamos desconfiar de USBs ajenos cuyo origen no tengamos claro. Ese pendrive que alguien “se ha encontrado” en la oficina o en la calle puede ser, literalmente, un señuelo preparado por un atacante para que alguien lo coja y lo conecte a su equipo. Para estos casos es útil saber cómo detectar memorias USB falsas.
Una práctica muy recomendable, sobre todo si usamos el mismo ordenador para trabajar y para uso personal, es separar las memorias USB profesionales y las personales. No mezclar documentos de trabajo con archivos personales en los mismos dispositivos reduce el impacto en caso de infección o pérdida, y ayuda también a aplicar políticas de seguridad más estrictas en el entorno laboral.
Conviene acostumbrarse a escapar de los archivos ejecutables desconocidos. En la medida de lo posible, evita copiar a tu USB instaladores, .exe, .bat, .scr o similares desde fuentes que no sean la web oficial del desarrollador. Muchos malware viajan disfrazados de supuestos programas útiles, pero en realidad están diseñados para hacer estragos cuando se ejecutan en el PC de destino.
Por último, es buena idea configurar los equipos para que no se ejecute automáticamente nada desde un USB. Desactivar la reproducción automática (AutoRun/AutoPlay) en Windows impide que un programa malicioso se lance sin preguntarnos nada en cuanto conectamos la unidad, y se puede lograr siguiendo guías para desactivar la detección y ejecución automática de puertos USB.
Cómo limpiar un USB que ya está infectado
Si sospechamos que un pendrive puede estar comprometido, debemos actuar con cautela para no contagiar otros equipos. Lo ideal es no conectarlo directamente a nuestro ordenador principal sin más, especialmente si almacenamos información sensible.
Una primera opción, si la ejecución automática está desactivada, es conectar el USB y lanzar un análisis completo con un antivirus fiable. Muchas soluciones de seguridad permiten analizar específicamente la unidad extraíble antes de abrirla. Si la infección no es demasiado sofisticada, el propio antivirus puede detectar y desinfectar los archivos problemáticos.
En caso de que detectemos virus de acceso directo, autorun malicioso u otro tipo de malware, lo más efectivo suele ser formatear por completo la memoria USB para borrar cualquier rastro. Obviamente, esto implica perder lo que haya dentro, así que primero conviene intentar rescatar los datos importantes desde un entorno controlado.
Una estrategia muy útil es arrancar un ordenador con una distro Linux en modo Live (desde USB o DVD) y, desde ahí, acceder a la memoria infectada; puedes ver un ejemplo de cómo crear un Live USB en cómo crear un Live USB con Tails OS. Como la mayoría del malware de USB está diseñado para Windows, en Linux no se ejecutará, permitiéndonos copiar archivos limpios a otra unidad diferente. Hay que revisar con calma qué copiamos para no arrastrar también el código malicioso.
Cuando hayamos recuperado lo que nos interese, podemos formatear el USB (incluso desde el propio Linux) y dejarlo otra vez limpio. Después, al conectarlo de nuevo a Windows, es recomendable protegerlo con alguna de las técnicas anteriores (NTFS con permisos ajustados, cifrado, etc.) y pasar un análisis de antivirus antes de usarlo con normalidad; también puede ser útil crear un USB de rescate con antivirus para futuras emergencias.
Para usuarios avanzados, existe la posibilidad de eliminar manualmente ciertos virus de USB utilizando el Símbolo del sistema (CMD). Por ejemplo, podemos abrir CMD, ir a la letra de la unidad (F:, G:, etc.), listar los archivos, mostrar los ocultos y eliminar a mano ficheros típicos de algunos gusanos (ravmon.exe, new folder.exe, autorun.inf, etc.). Eso sí, este enfoque requiere cuidado para no borrar nada importante ni tocar archivos de sistema.
Precauciones adicionales frente a virus de tipo autorun y acceso directo
Uno de los tipos de malware más molestos en unidades extraíbles son los que se aprovechan de autorun.inf y de los accesos directos para engañar al usuario y propagarse entre equipos.
El archivo autorun.inf es un fichero de texto que Windows puede usar para indicar qué programa debe ejecutarse automáticamente al insertar un medio extraíble. Los virus que lo utilizan suelen crear múltiples copias en diferentes unidades, de forma que cada vez que hagamos doble clic en el icono del disco, se lance realmente el malware.
Si sospechamos de un autorun.inf malicioso, una posible pauta manual es conectar el USB, cancelar cualquier cuadro de diálogo automático que aparezca, abrir el Símbolo del sistema, acceder a la letra de la unidad y listar todos los archivos, incluidos los ocultos. Localizaremos ficheros sospechosos (autorun.inf, ejecutables extraños) y podremos borrarlos con el comando adecuado.
Además, muchos de estos virus cambian la apariencia de la unidad o ocultan archivos y carpetas legítimos, sustituyéndolos por accesos directos. Esto se nota porque de repente todo “son accesos directos” o hay elementos duplicados con el mismo nombre. Muchas suites de seguridad incluyen módulos específicos para detectar y revertir esta técnica, restaurando los atributos originales de los archivos.
En cualquier caso, aunque la limpieza manual sea posible, la opción más segura sigue siendo combinar un buen antivirus actualizado con copias de seguridad periódicas y, cuando la infección es intensa, no dudar en formatear la unidad sospechosa y volver a empezar desde cero.
Buenas prácticas de seguridad y mantenimiento con USB
Más allá de los virus propiamente dichos, es importante cuidar cómo manejamos físicamente los dispositivos USB y qué hábitos seguimos con ellos para no perder datos por descuidos.
Uno de los pasos más ignorados es usar siempre la opción de “extracción segura” antes de desconectar la memoria. Si tiramos del pendrive sin expulsarlo, existe riesgo de que se estén escribiendo datos en ese momento, lo que puede terminar en archivos corruptos o incluso en tener que reformatear toda la unidad.
Otra recomendación es analizar el USB antes de usarlo cuando venga de un equipo ajeno. Con la memoria conectada, podemos ir al explorador de archivos, hacer clic derecho sobre el icono de la unidad y lanzar el escaneo de virus desde el menú contextual del antivirus. Es un gesto que tarda poco y puede evitarnos una infección seria.
En el plano online, no conviene olvidar que muchos ataques comienzan con la descarga de archivos desde webs dudosas. Aunque el virus acabe en el USB, su origen puede ser un programa pirata, un instalador de procedencia poco clara o un archivo comprimido recibido por correo. Cada vez que descargamos algo desde una fuente que no conocemos, estamos asumiendo un riesgo añadido.
Por todo ello, es fundamental contar con un software antivirus actualizado y bien configurado, capaz de analizar en tiempo real tanto los archivos del sistema como las unidades externas. Si usamos una versión gratuita, puede merecer la pena valorar el salto a una edición de pago con funciones avanzadas de análisis profundo, protección frente a ransomware, escaneo de dispositivos extraíbles y bloqueo de ejecución automática.
Finalmente, no hay que olvidar que ningún sistema es perfecto. Los virus pueden colarse, deshabilitar parcialmente el antivirus o aprovechar vulnerabilidades no corregidas. Por eso resulta tan importante complementar la protección con copias de seguridad periódicas (locales y en la nube) y tener activada la Restauración del sistema o soluciones de backup más avanzadas que nos permitan recuperar el entorno a un estado anterior en caso de desastre.
Teniendo claros los riesgos y aplicando estas medidas, desde los ajustes de permisos en NTFS y el cifrado con contraseña hasta la precaución al conectar pendrives en equipos ajenos y el uso disciplinado del antivirus, es posible disfrutar de la comodidad de las memorias USB sin vivir con miedo a los virus. Con un poco de cabeza y algo de configuración previa, el pendrive vuelve a ser esa herramienta práctica y versátil que todos queremos, en lugar de una puerta trasera para los ciberdelincuentes.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.