Seguridad USB · 4 min read · Dec 18, 2025
El 50 por ciento de los dispositivos USB en todo el mundo son susceptibles a BadUSB
Tabla de Contenidos
- Solo la mitad de los dispositivos USB en todo el mundo tienen el defecto BadUSB, pero nadie sabe cuál mitad
- ¿Qué es BadUSB?
- ¿Por qué no se puede detectar?
- Pruebas
- El problema
- La solución
Solo la mitad de los dispositivos USB en todo el mundo tienen el defecto BadUSB, pero nadie sabe cuál mitad
Si has leído nuestro artículo sobre BadUSB, sabes que un dispositivo USB puede verse afectado por este inexplotable defecto, pero exactamente cuáles dispositivos USB están afectados, no lo sabíamos. En la conferencia de seguridad PacSec en Tokio el miércoles, el hacker Karsten Nohl presentó una actualización de su investigación sobre la inseguridad fundamental de los dispositivos USB que ha denominado BadUSB.
Nohl y sus compañeros investigadores Jakob Lell y Sascha Krissler han analizado cada chip controlador USB vendido por los ocho mayores proveedores de la industria para ver si están afectados por el defecto BadUSB.
Los resultados: Aproximadamente la mitad de los chips eran inmunes al ataque. Pero predecir qué chip utiliza un dispositivo es prácticamente imposible para el consumidor promedio. Así que ahora está claro que de todos los dispositivos USB disponibles en el mercado, aproximadamente el 50 % de esos están afectados por este defecto inexplotable.
¿Qué es BadUSB?
Si has leído el artículo sobre BadUSB, ya lo sabes. Pero si no lo has leído, el malware que se denomina BadUSB reprograma el firmware embebido para dar a los dispositivos USB nuevas, encubiertas y poderosas capacidades. En una demostración en la conferencia de seguridad Black Hat en Las Vegas, una unidad USB fue infectada y mostró su capacidad para actuar como un teclado que escribe de manera encubierta comandos maliciosos en las computadoras conectadas.
Otra USB fue reprogramada de manera similar para actuar como una tarjeta de red que hace que las computadoras conectadas se conecten a sitios maliciosos que suplantan a Google, Facebook u otros destinos de confianza. La demostración mostró que hacks similares podrían funcionar contra teléfonos Android cuando se conectan a computadoras objetivo. El malware es tan grande que puede funcionar en casi cualquier dispositivo vinculado por USB, como cámaras web, teclados, teléfonos inteligentes, etc.
Otro par de investigadores que lograron revertir la ingeniería del defecto, publicaron el PoC en Github para que otros investigadores de seguridad y hackers de sombrero blanco puedan encontrar una manera de corregir el defecto.
¿Por qué no se puede detectar?
Dada la escala en la que se fabrican los dispositivos USB en todo el mundo, hace que sea impráctico detectar cada uno de los dispositivos USB afectados por BadUSB.
“No es como si conectaras [una memoria USB] a tu computadora y te dijera que este es un chip Cypress, y este es un chip Phison”, dice Nohl, nombrando a dos de los principales fabricantes de chips USB. “Realmente no puedes verificarlo más que abriendo el dispositivo y haciendo el análisis tú mismo… La historia más aterradora es que no podemos darte una lista de dispositivos seguros.”
Pruebas
Nohl dijo que su equipo de investigación había realizado una prueba masiva de chips controladores USB vendidos por los mayores proveedores de la industria: Phison, Alcor, Renesas, ASmedia, Genesys Logic, FTDI, Cypress y Microchip. Revisaron versiones de cada chip tanto buscando sus especificaciones publicadas como conectando un dispositivo que lo utilizara a una computadora e intentando reescribir el firmware del chip.
Los resultados fueron muy impredecibles para Nohl y sus asociados para hacer un informe concluyente. Durante las pruebas, Nohl y su equipo de investigación encontraron que todos los controladores de almacenamiento USB de la firma taiwanesa Phison eran vulnerables a la reprogramación, mientras que los chips fabricados por ASmedia no se vieron afectados por BadUSB.
De manera similar, los chips controladores de otro importante fabricante taiwanés, Genesys, eran mucho más complejos. Los chips fabricados por Genesys con el estándar USB 2.0 eran inmunes al ataque, pero los nuevos que utilizan el estándar USB 3.0 eran vulnerables.
En otras categorías de dispositivos como hubs USB, teclados, cámaras web y ratones, los resultados produjeron una hoja de cálculo de Excel aún más desordenada de “vulnerables”, “seguros” e “inconclusos.”
Nohl dijo que estos hallazgos hicieron que su investigación fuera más allá del ámbito porque Nohl se había centrado en los dispositivos USB fabricados por Phison, ya que Phison tenía la mayor cuota de mercado.
Puedes leer el Wiki Stub completo hecho por Nohl y sus asociados para los dispositivos vulnerables aquí.
El problema
A diferencia de las computadoras donde se considera necesario el branding y los fabricantes de PC etiquetan el nombre del fabricante en la configuración, los fabricantes de USB no lo hacen. Generalmente utilizan el chipset del proveedor de menor precio del mercado. Esto causa una mezcla de marcas incluso en la misma categoría. Por ejemplo, diferentes dispositivos USB de Kingston pueden usar diferentes chips de diferentes fabricantes en cualquier momento.
La solución
El resultado de Nohl también dejó claro una cosa. BadUSB no está afectando solo a los dispositivos de marca Phison, sino a casi todas las marcas de dispositivos disponibles en el mercado.
Mientras tanto, otro importante fabricante de USB, Imation, está tomando algunas precauciones contra BadUSB. De ahora en adelante, el fabricante de USB Ironkey, propiedad de Imation, requiere que cualquier nueva actualización del firmware de sus memorias USB esté firmada con una firma criptográfica irrefutable que prevenga la reprogramación maliciosa. Nohl dijo que si otros fabricantes de USB pudieran seguir ese modelo, la vulnerabilidad podría desaparecer con el tiempo.
Recibe nuevas publicaciones en tu bandeja de entrada.
No spam. Cancela la suscripción en cualquier momento.