Para muchos profesionales de la seguridad, la frase gusano USB suena como una reliquia de otra época. Los primeros años 2000 estuvieron llenos de historias sobre malware que se propagaba mediante medios extraíbles, infectando redes corporativas y sistemas gubernamentales una memoria USB a la vez. Sin embargo, una campaña de ciberespionaje recientemente revelada contra una organización gubernamental del Sudeste Asiático demuestra que el vector de ataque USB sigue muy vivo en 2026.
Investigadores de Unit 42 descubrieron una operación sofisticada que se ejecutó entre junio y agosto de 2025. La campaña involucró a varios grupos de amenazas alineados con China que operaban simultáneamente dentro del mismo entorno gubernamental, cada uno desplegando su propia colección de malware, herramientas de acceso remoto y ladrones de información. A pesar de usar técnicas e infraestructura diferentes, los tres grupos compartían un objetivo común: mantener acceso a largo plazo a sistemas gubernamentales sensibles.
Entre las distintas herramientas utilizadas en la operación, un componente destaca para cualquiera familiarizado con la seguridad de medios extraíbles. El actor de amenazas conocido como Stately Taurus desplegó un gusano propagado por USB llamado USBFect, también identificado como HIUPAN. Su trabajo era simple y muy efectivo: copiarse en unidades extraíbles conectadas y esperar a que esas unidades se conectaran a otro sistema.
Este método puede parecer poco sofisticado comparado con el ransomware moderno o los ataques impulsados por inteligencia artificial, pero esa simplicidad es exactamente la razón por la que sigue funcionando. Las organizaciones suelen restringir la conectividad a Internet, bloquear archivos adjuntos de correo electrónico e implementar herramientas avanzadas de seguridad endpoint. Aun así, muchas todavía dependen de dispositivos USB para mover archivos entre sistemas, departamentos o entornos seguros. Mientras los medios extraíbles sigan formando parte de las operaciones normales de una empresa, seguirán siendo una ruta de ataque viable.
Para los lectores interesados en la evolución de las tecnologías de protección contra escritura, anteriormente revisamos por qué el USB de solo lectura suele ser tan importante para la seguridad. Esa discusión se vuelve especialmente relevante cuando se examina malware diseñado específicamente para replicarse mediante medios extraíbles.
Según el informe, USBFect monitorea continuamente un sistema en busca de nuevas unidades extraíbles conectadas. Una vez detectadas, el malware copia sus componentes en el dispositivo para que la infección pueda viajar a la siguiente computadora. El gusano se oculta dentro de directorios diseñados para parecer carpetas legítimas del sistema de Windows e Intel, haciendo que una revisión casual difícilmente revele algo sospechoso.
La campaña no se detuvo en la simple propagación. Una vez establecido el acceso, componentes adicionales de malware entregaron capacidades de acceso remoto, funciones de keylogging, monitoreo del portapapeles, recopilación de archivos y herramientas de exfiltración de datos. Un ladrón de información conocido como TrackBak se disfrazaba como un archivo de registro de Microsoft Edge mientras recopilaba silenciosamente actividad del usuario e información sensible de sistemas comprometidos.
Lo que hace que esta campaña sea particularmente notable es que se observaron tres clústeres de amenazas separados operando simultáneamente contra la misma organización objetivo. Los investigadores identificaron vínculos con grupos de espionaje previamente conocidos, incluidos Earth Estries, Crimson Palace y Unfading Sea Haze. Aunque el nivel exacto de coordinación sigue sin estar claro, la superposición sugiere un esfuerzo de recopilación de inteligencia altamente organizado enfocado en una sola víctima gubernamental.
El informe también sirve como recordatorio de que los dispositivos USB en sí no son la vulnerabilidad. Más bien, la vulnerabilidad está en la capacidad del malware para usar el almacenamiento extraíble como mecanismo de transporte entre sistemas. La memoria USB es simplemente el vehículo. Una vez que el malware obtiene la capacidad de escribirse en un dispositivo, ese dispositivo puede convertirse en un portador involuntario de la siguiente infección.
Esta distinción es importante porque muchas conversaciones sobre seguridad USB se enfocan en prohibir por completo los medios extraíbles. En realidad, muchas agencias gubernamentales, proveedores de salud, instalaciones de fabricación y operadores industriales siguen dependiendo del almacenamiento USB para funciones empresariales legítimas. Eliminar el USB suele ser poco práctico. Gestionar cómo se usan los dispositivos USB normalmente es el enfoque más realista.
Los investigadores recomiendan desactivar AutoRun, aplicar políticas USB más estrictas y monitorear actividad DLL sospechosa y técnicas de ejecución en memoria. Estas siguen siendo recomendaciones sólidas. Sin embargo, la lección más amplia puede ser aún más simple: los atacantes siguen teniendo éxito con métodos que existen desde hace décadas porque las condiciones subyacentes que hacen posibles esos ataques todavía existen.
Veinte años después de que los primeros grandes gusanos USB captaran titulares, la fórmula sigue siendo notablemente parecida. Encontrar un dispositivo USB escribible, copiar el payload y esperar la siguiente conexión. La tecnología ha evolucionado, el malware se ha vuelto más sofisticado, pero la ruta de ataque sigue siendo la misma.
Para las organizaciones que siguen dependiendo de medios extraíbles, esta campaña más reciente es un recordatorio de que controlar lo que puede escribirse en un dispositivo USB puede ser tan importante como controlar lo que puede leerse desde él.
Fuente: Cyber Security News / Unit 42
Discusión en Reddit sobre seguridad USB
Política de revisión editorial y técnica
Este artículo fue investigado y escrito por el equipo editorial de GetUSB.info con base en reportes disponibles públicamente de investigadores de ciberseguridad y fuentes de la industria. GetUSB.info ha cubierto tecnología USB, medios extraíbles, almacenamiento flash y desarrollos de seguridad USB desde 2004. Nuestro análisis se enfoca en los mecanismos técnicos involucrados en ataques basados en USB, dispositivos de almacenamiento y tecnologías de transporte de datos.
Cuando es posible, se revisan fuentes originales de investigación e informes de seguridad para verificar afirmaciones técnicas antes de la publicación. Los lectores deben entender que las investigaciones de ciberseguridad pueden evolucionar a medida que haya información adicional disponible. Las organizaciones deben consultar con profesionales de seguridad calificados al evaluar políticas de seguridad USB, estrategias de mitigación de malware o requisitos de protección de datos.
GetUSB.info mantiene independencia editorial y se esfuerza por ofrecer reportes factuales, contexto técnico y análisis educativo para profesionales de TI, ingenieros y entusiastas de la tecnología.
