Ataque BadUSB: Cómo un cable USB se convierte en un teclado
Lo más peligroso que llevas en la mochila podría ser el cable en el que menos confías. Un cable USB, una memoria USB de repuesto, el cargador "gratis" que alguien dejó en una sala de reuniones. Todos parecen inofensivos. Pero si conectas uno y se ha convertido en un dispositivo BadUSB, tu ordenador hará algo extraño en el primer medio segundo: lo reconocerá como un teclado y empezará a escribir.
Ahí reside el truco. BadUSB no es un virus que se pueda detectar con un escáner. Es un ciberataque que abusa de las funciones predeterminadas de USB, uno de los vectores de ataque más insidiosos en ciberseguridad. Y para quienes poseen criptomonedas, ese tecleo silencioso puede costarles su billetera sin que se den cuenta. Aquí te explicamos cómo funciona, por qué es tan difícil detenerlo y por qué los usuarios de criptomonedas se encuentran en una posición vulnerable.
¿Qué es un ataque BadUSB y por qué es peligroso?
Cada dispositivo USB, desde una memoria USB de 3 dólares hasta una cámara web, funciona con un pequeño microcontrolador con su propio firmware. Ese firmware es el que le indica a tu computadora "Soy un teclado" o "Soy un dispositivo de almacenamiento". Un ataque BadUSB lo modifica para que el dispositivo mienta. La memoria USB que crees que es solo almacenamiento se hace pasar silenciosamente por un teclado o una tarjeta de red, y el sistema operativo lo acepta sin más. Sin aviso. Sin advertencia.
¿Por qué es tan importante? Por cómo las computadoras interpretan los teclados. Un teclado es un dispositivo de interfaz humana (HID, por sus siglas en inglés), y todos los sistemas operativos confían plenamente en la entrada HID. Dan por sentado que hay una persona real sentada allí, pulsando teclas reales. Por lo tanto, un dispositivo USB malicioso que se hace pasar por un teclado hereda toda esa confianza y comienza a escribir comandos a velocidad de máquina.
La llamada de atención de 2014
La idea se hizo pública en Black Hat USA 2014, cuando dos investigadores de SR Labs, Karsten Nohl y Jakob Lell, subieron al escenario y la presentaron. Su charla tenía un título genial: "BadUSB: Accesorios que se vuelven malvados". Una unidad de apariencia normal, reprogramada para funcionar como teclado, secuestraba una máquina sin que el usuario viera nada. Semanas después, Adam Caudill y Brandon Wilson publicaron código de explotación funcional en DerbyCon. Ese fue el punto de inflexión. BadUSB dejó de ser un truco de laboratorio y se convirtió en algo que cualquiera con un fin de semana libre podía construir.
Por qué no puedes simplemente arreglarlo
Aquí está el aspecto que aún preocupa a los expertos en seguridad. La mayoría de los controladores USB aceptan firmware nuevo sin firma digital ni autenticación alguna. Nada verifica que la actualización provenga de una fuente confiable. Por lo tanto, la vulnerabilidad no reside en un programa defectuoso que se pueda parchear, sino en el propio modelo de confianza USB.
Tu antivirus analiza los archivos. BadUSB no necesita ningún archivo. El comportamiento malicioso está integrado en el firmware, y el ataque en sí consiste simplemente en pulsaciones de teclas. No se guarda nada en el disco para detectarlo. Así es como un portátil completamente actualizado y protegido puede ser víctima de un cable de 200 dólares.
Cómo se desarrolla un ataque BadUSB en segundos
Imagínese la secuencia. Conecta el cable. Este se identifica, indicándole a la computadora que es un teclado, y en uno o dos segundos comienza a enviar pulsaciones de teclas a partir de una carga útil que el operador cargó previamente. Ningún humano escribe tan rápido. Nadie se le acerca.
Un malware típico abre una ventana de comandos oculta o una consola de PowerShell, generalmente en un lugar donde nunca la ves, descarga un script de internet y lo ejecuta. El cable escribe el código. Internet proporciona el malware. Cuando miras la pantalla, ya está hecho.
Dos segundos de escritura dan para mucho. Abre una terminal. Cierra una ventana de seguridad. Descarga una herramienta de acceso remoto e insértala en el inicio para que sobreviva a un reinicio. En Windows, una sola línea de PowerShell basta para obtener código de un servidor propiedad del atacante y ejecutarlo. Y el script puede ser paciente. Puede esperar a una hora determinada del día o ejecutarse solo cuando la pantalla esté desbloqueada, de modo que la ráfaga de pulsaciones de teclas se mimetice con lo que ya estabas haciendo. Tu antivirus ni se inmuta, porque nada llegó como un archivo. Llegó como entrada.
¿Por qué sigue funcionando? Es sencillo. Puedes bloquear el software, restringir las instalaciones, usar todos los escáneres del mercado. Pero se da por sentado que el teclado eres tú. Esa suposición es la clave, y BadUSB la supera por definición.
Herramientas BadUSB que puedes comprar: De patito de goma a aleta
Durante años, esto parecía sacado de una película de espías. Ya no. Los dispositivos disponibles en el mercado permiten la inyección de pulsaciones de teclas directamente al sacarlos de la caja, y los precios son, aburridamente, normales.
El USB Rubber Ducky de Hak5 es un clásico: una memoria USB con apariencia de pendrive, programada en un lenguaje sencillo llamado DuckyScript, diseñada precisamente para esto. El Flipper Zero, una multiherramienta de bolsillo que se hizo viral, incluye una función BadUSB integrada y se vende por unos 169 dólares. Y luego está el O.MG Cable, que es el que más debería preocuparte, porque no es una memoria USB. Es un cable.
El cable O.MG tiene el mismo aspecto que un cable Apple o USB-C convencional. En su interior esconde un chip inalámbrico y una pequeña interfaz web a la que el usuario accede mediante Wi-Fi. La versión Elite registra hasta 890 pulsaciones por segundo e incluye un registrador de pulsaciones integrado con capacidad para almacenar hasta 650 000. En reposo, carga el teléfono y transfiere datos como cualquier otro cable. Nadie lo notaría. Esa es precisamente la clave.
| Herramienta | Factor de forma | Velocidad de inyección | Control inalámbrico | Precio aproximado |
|---|---|---|---|---|
| Patito de goma USB | Memoria USB | Rápido (con guion) | No | ~$60 |
| Flipper Zero | Herramienta multiusos de bolsillo | Rápido (con guion) | Limitado | ~$169 |
| Cable O.MG (Élite) | Cable de aspecto normal | Hasta 890 teclas/segundo | Sí (Wi-Fi) | ~$200 |
Para ponerlo en perspectiva, un implante similar en el pasado, del tipo que supuestamente fabricaban las agencias de inteligencia, costaba decenas de miles de dólares. El O.MG Cable recrea la mayor parte de esa capacidad por el precio de una buena cena. La barrera de entrada prácticamente ha desaparecido.
Por qué los poseedores de criptomonedas son un objetivo principal de BadUSB
La mayoría de los artículos se centran en el aspecto informático corporativo. Yo quiero ir más allá, porque si tienes criptomonedas, tu modelo de amenazas es diferente y, sinceramente, un poco peor.
El intercambio de portapapeles
Un ataque BadUSB no necesita hackear tu billetera. Solo tiene que cambiar una cosa: tu portapapeles. La carga útil inyectada instala un secuestrador de portapapeles en segundos. Después, cada vez que copias una dirección de criptomonedas para enviar fondos, el malware la reemplaza silenciosamente con la dirección del atacante. Pegas lo que parece correcto. Confirmas. El dinero llega a la billetera de un desconocido.
Esto no es teórico. Un programa malicioso que interceptaba el acceso a más de dos millones de direcciones de Bitcoin fue detectado mientras intercambiaba direcciones en las billeteras de los atacantes. En una campaña de 2024, apodada GitVenom, repositorios de código falsos distribuyeron malware de intercambio de direcciones y se llevaron aproximadamente 485.000 dólares en Bitcoin. El truco es peligroso porque las direcciones de criptomonedas son cadenas largas y aleatorias que nadie lee carácter por carácter. Se comprueban los primeros cuatro caracteres, se comprueban los últimos cuatro, coinciden y se envía la dirección. El intercambio se oculta en el medio, justo donde la vista nunca llega. Y lo que está en juego es enorme: según Chainalysis , en 2024 se robaron alrededor de 2.200 millones de dólares en criptomonedas, y el compromiso de la clave privada fue la causa del 43,8% de esas pérdidas.
¿Te protege una cartera de hardware?
En general, sí, y conviene aclarar el porqué. Un Ledger o un Trezor almacenan tu frase semilla en un Elemento Seguro. Las claves privadas se generan allí y nunca salen. Solo una transacción firmada se transmite por el cable USB. Por lo tanto, un dispositivo BadUSB que envíe pulsaciones de teclas no puede simplemente escribir un comando que robe tu frase semilla de una cartera de hardware en funcionamiento. Toda la arquitectura está diseñada para impedir precisamente eso.
Pero hay dos puntos débiles importantes. El primero es la ingeniería social. En 2021, estafadores enviaron dispositivos Ledger falsos a personas cuyas direcciones particulares se habían filtrado en la brecha de seguridad de Ledger de 2020. El hardware falsificado venía con una nota que indicaba a las víctimas que escribieran su frase semilla de 24 palabras en una aplicación incluida, como informó CoinDesk . No se requería ninguna vulnerabilidad. Solo un paquete convincente y un poco de miedo. El segundo punto débil es la cadena de suministro. Investigadores de Kraken demostraron que el chip que gestiona el USB en una cartera de hardware, el que está separado del Secure Element, podía ser manipulado antes de que el dispositivo llegara al comprador.
La lección no es que las carteras de hardware sean inútiles. Son la herramienta adecuada, sin duda. La lección es que el punto débil reside en ti: en lo que copias, en lo que escribes y en el origen de tu dispositivo.
¿Qué tan común es realmente la amenaza de las memorias USB?
Resulta tentador catalogar BadUSB como algo "interesante, pero poco común". Sin embargo, los datos indican lo contrario, al menos en lo que respecta a la amenaza que representan las memorias USB en general.
La empresa de seguridad Honeywell realiza un seguimiento del malware detectado en instalaciones industriales. En su informe de 2024, Honeywell descubrió que el 51 % del malware detectado estaba diseñado para propagarse a través de USB, frente al 9 % de 2019. De ese malware USB, el 82 % podría interrumpir las operaciones industriales. El USB no es una superficie de ataque muerta, sino una en constante crecimiento.
Y el factor humano es el más fácil de explotar. En un estudio muy conocido, investigadores de la Universidad de Illinois esparcieron 297 memorias USB por el campus. La gente las recogió y las conectó, la primera en cuestión de minutos. La curiosidad facilita el trabajo del atacante.
| Descubrimiento | Cifra | Fuente | Año |
|---|---|---|---|
| Malware de sitio OT que se propaga a través de USB | 51% (frente al 9% en 2019) | Honeywell | 2024 |
| Ese malware USB es capaz de interrumpir las operaciones. | 82% | Honeywell | 2024 |
| Criptomonedas robadas, reparto tras la filtración de claves privadas. | 2.200 millones de dólares / 43,8% | Análisis en cadena | 2024 |
| Unidades USB caídas que se conectan | Aproximadamente la mitad, en cuestión de minutos. | Universidad de Illinois | 2016 |
Una aclaración importante: tanto el FBI como la FCC emitieron advertencias públicas en 2023 sobre el robo de datos en estaciones de carga de aeropuertos y centros comerciales. Estas advertencias eran preventivas y no se ha confirmado ningún caso grave. Sin embargo, la vulnerabilidad que señalan —un puerto de carga que también transmite datos— es precisamente lo que BadUSB aprovecha. El problema no radica en que haya un cable con trampas en cada aeropuerto, sino en que el mismo puerto USB transmite energía y datos a través de los mismos pines, por lo que un puerto que no se puede inspeccionar no es un puerto en el que se pueda confiar plenamente.
Cómo prevenir ataques BadUSB y proteger las criptomonedas
¿La buena noticia? La prevención de ataques BadUSB es, en su mayor parte, económica y se basa en el comportamiento. No necesitas tanto software sofisticado como un nuevo hábito.
- No conectes ningún dispositivo USB ni cable que no hayas comprado tú mismo o en el que no confíes plenamente. El obsequio de la conferencia, la memoria USB que encontraste en el estacionamiento, el cable prestado: esos son el peligro. Trátalos como si fueran una aguja de un desconocido.
- Lleva contigo un bloqueador de datos USB, a veces llamado "condón USB", para cargar dispositivos en público. Este dispositivo corta físicamente los pines de datos y solo permite el paso de la energía, lo que impide tanto el robo de datos como la inyección de pulsaciones de teclas a través de ese puerto USB.
- En el caso específico de las criptomonedas, siempre verifica la dirección de recepción completa en la pantalla de tu billetera de hardware antes de aprobar cualquier transacción. Este simple hábito evita el intercambio de datos desde el portapapeles, ya que la dirección en el dispositivo de confianza no coincidirá con la que el malware introdujo.
- Compra carteras de hardware directamente del fabricante, nunca a un revendedor externo ni a un desconocido, y nunca confíes en un dispositivo que aparezca sin previo aviso.
- En el lado del terminal, el control de dispositivos USB, la inclusión en listas blancas de HID y las herramientas de administración de terminales pueden impedir por completo la conexión de teclados no reconocidos. En dispositivos personales, funciones como la opción de Apple "Permitir la conexión de accesorios" o la configuración de Android que desactiva el USB cuando el dispositivo está bloqueado, solucionan el mismo problema.
Ninguna de estas cosas es exótica. Son la versión digital de no comer la comida que te ofrece un desconocido en la calle.
Conclusiones sobre BadUSB y la seguridad USB
BadUSB resulta inquietante precisamente por su sencillez. No requiere vulnerabilidades de día cero ni genialidad, solo la suposición de que un cable es solo un cable y un teclado eres tú. Esa suposición es errónea, y el equipo para demostrarlo ahora cuesta casi lo mismo que el teléfono que estás cargando.
Para los poseedores de criptomonedas, la solución no requiere paranoia, solo disciplina. Verifica las direcciones en la pantalla del dispositivo, no en la computadora. Compra tu hardware directamente del fabricante. Y la próxima vez que alguien te ofrezca un cable que no trajiste, pregúntate qué podría estar escribiendo. ¿Qué habrías conectado hoy sin pensarlo dos veces?
