USB Forense
Técnicas de análisis forense para investigar dispositivos USB conectados a un sistema, incluyendo identificación de dispositivos, historial de conexiones, y recuperación de datos de unidades extraíbles.
¿Qué es el Análisis Forense de USB?
El análisis forense de USB investiga la conexión de dispositivos de almacenamiento extraíbles a un sistema. Permite identificar qué dispositivos se conectaron, cuándo, quién los usó, y potencialmente qué datos se transfirieron.
Vector de Fuga Común
Los dispositivos USB son uno de los principales vectores de fuga de información. Un empleado puede copiar gigabytes de datos confidenciales en segundos. El análisis forense puede reconstruir esta actividad.
Artefactos de USB en Windows
Registro de Windows
| Ubicación | Información |
|---|---|
| SYSTEM\MountedDevices | Dispositivos montados, letras asignadas |
| SYSTEM\USBSTOR | Historial de dispositivos USB storage |
| SOFTWARE\Microsoft\Windows Portable Devices | Nombres amigables de dispositivos |
| NTUSER\MountPoints2 | Puntos de montaje por usuario |
Estructura de USBSTOR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\
└── Disk&Ven_SanDisk&Prod_Ultra&Rev_1.00
└── 4C530001234567890123
├── FriendlyName: "SanDisk Ultra USB 3.0"
├── HardwareID: USBSTOR\Disk...
└── DeviceInstance: timestampsInformación Extraíble
| Dato | Fuente |
|---|---|
| Fabricante | USBSTOR (Ven_) |
| Producto | USBSTOR (Prod_) |
| Número de serie | Subclave del dispositivo |
| Primera conexión | Setupapi.dev.log |
| Última conexión | Registro, Event Logs |
| Usuario | NTUSER.DAT MountPoints2 |
| Letra asignada | MountedDevices |
Número de Serie Único
El número de serie del USB es único y permite identificar un dispositivo específico. Si se recupera el pendrive, se puede confirmar que es el mismo que se conectó.
Logs Adicionales
Setupapi.dev.log
%SystemRoot%\inf\setupapi.dev.logRegistra la primera instalación del dispositivo:
>>> [Device Install for USBSTOR\...]
>>> Section start 2026/01/18 10:32:15.234
...
<<< Section end 2026/01/18 10:32:16.456Event Logs
| Event ID | Log | Información |
|---|---|---|
| 2003 | Microsoft-Windows-Partition/Diagnostic | Conexión de dispositivo |
| 2100-2102 | System | Conexión PnP |
| 6416 | Security | Dispositivo PnP (si está habilitado) |
Proceso de Análisis
Extraer SYSTEM hive: Contiene USBSTOR, MountedDevices.
Extraer NTUSER.DAT: Contiene MountPoints2 por usuario.
Parsear registros: Usar herramientas como RegRipper, Registry Explorer.
Correlacionar timestamps: Primera/última conexión de cada dispositivo.
Identificar usuarios: ¿Quién conectó cada dispositivo?
Buscar archivos accedidos: LNK files, Jump Lists, Shellbags.
Timeline: Construir cronología de actividad USB.
Herramientas de Análisis
| Herramienta | Función |
|---|---|
| USB Detective | Análisis especializado de artefactos USB |
| Registry Explorer | Exploración de hives de registro |
| RegRipper | Parseo automatizado con plugins |
| USBDeview | Vista de dispositivos USB (sistema vivo) |
| Plaso | Incluye parsers para artefactos USB |
USBDeview (Sistema Vivo)
Muestra:
- Todos los USB conectados alguna vez
- Fecha de primera/última conexión
- Número de serie, VID/PID
- Estado actual (conectado/desconectado)Rastreo de Archivos
LNK Files (Accesos Directos)
Los archivos .lnk creados al abrir archivos desde USB contienen:
Target path: E:\Documentos\Confidencial.xlsx
Volume Serial: 1234-ABCD
Volume Label: SANDISK
Creation Time: 2026-01-18 10:35:00Jump Lists
Listas de documentos recientes por aplicación:
%AppData%\Microsoft\Windows\Recent\AutomaticDestinations\
%AppData%\Microsoft\Windows\Recent\CustomDestinations\Pueden contener referencias a archivos en la unidad USB.
Shellbags
Registro de carpetas navegadas:
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
NTUSER.DAT\Software\Microsoft\Windows\Shell\BagsRevela qué carpetas del USB fueron exploradas.
No Prueba Copia
Estos artefactos prueban que se accedió a archivos, no necesariamente que se copiaron. Para probar copia, se necesitarían logs específicos (DLP) o análisis del USB mismo.
Caso Práctico: Fuga de Información
Escenario
Una empresa sospecha que un empleado copió la base de datos de clientes antes de renunciar.
Análisis Forense
1. Historial USB del empleado
Dispositivo: Kingston DataTraveler 3.0
Serial: 001CC0EC34B5F9C10123
Primera conexión: 2025-06-15 09:00
Última conexión: 2026-01-10 17:45 (día antes de renuncia)
Usuario: empleado_sospechoso
Letra: E:2. Archivos accedidos desde E:
LNK encontrado: E:\Backup\clientes_2026.xlsx
Created: 2026-01-10 17:42
Size: 45.2 MB
Shellbag: E:\Backup\ navegado
Timestamp: 2026-01-10 17:403. Correlación con servidor
Event Log servidor:
2026-01-10 17:35 - Acceso a \\servidor\clientes
2026-01-10 17:38 - Copia de clientes_2026.xlsx
Usuario: empleado_sospechoso
Destino: E:\ (según DLP logs)Conclusión
El timeline muestra:
- 17:35: Acceso a carpeta de clientes en servidor
- 17:38: Archivo copiado al USB
- 17:40: Navegación del USB para verificar
- 17:42: Archivo abierto desde USB (LNK creado)
- 17:45: USB desconectado (última conexión)
Análisis del Dispositivo USB
Si se Recupera el USB
Hash del contenido: Documentar estado actual.
Análisis de sistema de archivos: FAT32, exFAT, NTFS.
Recuperación de borrados: Archivos eliminados del USB.
Metadatos de archivos: Fechas, orígenes.
Correlación: Comparar con artefactos del PC.
Desafíos
| Desafío | Impacto |
|---|---|
| USB formateado | Datos sobrescritos, pero estructura recuperable |
| USB destruido | Análisis de chips posible pero costoso |
| Cifrado | BitLocker To Go, VeraCrypt |
| USB no encontrado | Solo artefactos del PC disponibles |
Contramedidas y Detección
Políticas Empresariales
- DLP (Data Loss Prevention): Logs de copias a USB
- Bloqueo de USB: Device control
- USB autorizados: Whitelist por serial number
Detección en Tiempo Real
# Monitorear conexiones USB
Get-WinEvent -FilterHashtable @{
LogName='Microsoft-Windows-DriverFrameworks-UserMode/Operational'
ID=2003
} -MaxEvents 10Conclusión
El análisis forense de USB es crucial en investigaciones de fuga de datos, robo de propiedad intelectual, y cumplimiento normativo. Windows mantiene un registro detallado de cada dispositivo USB conectado, permitiendo reconstruir el historial de conexiones e identificar potenciales transferencias de datos. Un perito puede determinar qué dispositivos se usaron, cuándo, y por quién, incluso sin tener acceso al dispositivo USB original.
Última actualización: 18 de enero de 2026 Categoría: Forense Digital Código: USB-001
Preguntas Frecuentes
¿Se puede saber qué pendrives se conectaron a un PC?
Sí, Windows guarda registro detallado de cada USB conectado: fabricante, modelo, número de serie, primera y última conexión, letra de unidad asignada, y usuario que lo conectó.
¿Se puede recuperar qué archivos se copiaron a un USB?
Indirectamente. Los archivos LNK, Jump Lists, y Shellbags pueden mostrar qué archivos del USB se abrieron. El historial de navegación de carpetas también queda registrado.
¿Cuánto tiempo guarda Windows el historial de USB?
Indefinidamente mientras no se limpie manualmente. Los registros persisten incluso después de desconectar el dispositivo. Es común encontrar historial de USBs de años atrás.
Términos Relacionados
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Windows Forense
Conjunto de técnicas y metodologías para el análisis forense de sistemas operativos Windows, incluyendo registro, eventos, artefactos de usuario, y recuperación de evidencia en entornos Microsoft.
Extracción Forense
Proceso de obtención de datos de dispositivos digitales (móviles, ordenadores, discos) de manera que preserve la integridad de la evidencia y mantenga la cadena de custodia para su uso en procedimientos judiciales.
Evidencia Digital
Cualquier información almacenada o transmitida en formato digital que puede ser utilizada como prueba en un procedimiento judicial o investigación.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita