USB Forensics
Análisis forense de memorias USB, discos externos y otros dispositivos extraíbles para recuperar datos, determinar qué archivos se copiaron y vincular dispositivos con equipos.
¿Qué es USB Forensics?
USB forensics es la rama del análisis forense digital que se centra en la investigación de dispositivos de almacenamiento extraíble: memorias USB, discos duros externos, tarjetas SD y cualquier medio que se conecte vía USB. Incluye tanto el análisis del propio dispositivo como el rastreo de su uso en equipos informáticos.
En mi trabajo como perito informático forense, el análisis de USB es fundamental en casos de fuga de información, espionaje industrial y robo de datos. El empleado desleal que copia la base de clientes a un pendrive deja más rastros de los que imagina.
Doble Perspectiva
USB forensics trabaja en dos direcciones: analizar qué hay en el USB (contenido) y analizar qué USB se conectaron a un ordenador (rastro). Ambas son complementarias en una investigación completa.
Artefactos de Conexión USB en Windows
Windows guarda un registro exhaustivo de todos los dispositivos USB conectados. Estos artefactos son oro para el perito forense.
Registro de Windows
| Clave del Registro | Información | Permanencia |
|---|---|---|
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR | Dispositivos de almacenamiento USB | Permanente |
HKLM\SYSTEM\CurrentControlSet\Enum\USB | Todos los dispositivos USB | Permanente |
HKLM\SOFTWARE\Microsoft\Windows Portable Devices | Nombres amigables de dispositivos | Permanente |
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 | Puntos de montaje por usuario | Permanente |
Información Extraíble
Ejemplo de análisis de registro USBSTOR:
├── Fabricante: SanDisk
├── Modelo: Cruzer Blade
├── Número de serie: 4C530001234567890
├── Primera conexión: 2026-01-15 09:23:47
├── Última conexión: 2026-01-28 23:15:33
├── Última letra de unidad: E:
└── Usuario que conectó: jperezArchivos de Sistema
| Archivo | Ubicación | Información |
|---|---|---|
| setupapi.dev.log | C:\Windows\INF\ | Timestamps de primera conexión |
| Event Logs | Security, System | Eventos de conexión |
| Prefetch | C:\Windows\Prefetch\ | Ejecución desde USB |
| LNK files | Recent, Desktop | Accesos directos a archivos |
Timestamp Crítico
El archivo setupapi.dev.log contiene la fecha exacta de primera conexión de cada dispositivo USB. Este dato es especialmente valioso porque no se puede falsificar fácilmente.
Análisis del Dispositivo USB
Adquisición Forense
Protección contra escritura: Usar bloqueador de escritura hardware o software para evitar modificar la evidencia.
Imagen forense bit a bit: Crear copia exacta del dispositivo incluyendo espacio no asignado.
Verificación de hash: Calcular MD5/SHA-256 del original y la copia para garantizar integridad.
Análisis sobre la copia: Todo el trabajo forense se realiza sobre la imagen, nunca sobre el original.
Recuperación de Archivos Eliminados
Los sistemas de archivos típicos de USB (FAT32, exFAT) facilitan la recuperación:
Estado de archivos en USB:
├── Archivos activos: Visibles normalmente
├── Archivos eliminados: Marcados como borrados, datos intactos
├── Espacio no asignado: Posibles fragmentos de archivos antiguos
└── Slack space: Datos residuales en clusters parcialmente usadosHerramientas que utilizo:
- FTK Imager (adquisición y recuperación básica)
- Autopsy (análisis completo open source)
- PhotoRec (recuperación de archivos por firma)
- R-Studio (recuperación avanzada)
Metadatos Reveladores
Los archivos copiados a USB conservan metadatos valiosos:
| Metadato | Qué Revela |
|---|---|
| Fecha creación | Cuándo se copió al USB |
| Fecha modificación | Última edición del archivo |
| Autor (en Office) | Quién creó el documento original |
| Ruta original | De dónde se copió (en algunos casos) |
Caso Práctico: Fuga de Información Corporativa
Investigación Real Anonimizada
Una empresa farmacéutica de Barcelona sospechaba que un investigador había copiado fórmulas confidenciales a un USB personal antes de marcharse a la competencia.
Análisis del Ordenador Corporativo
Paso 1: Historial de USB conectados
Extraje del registro de Windows:
Dispositivo: Kingston DataTraveler 3.0
Serial: 0019E06B9F5ABC12
Primera conexión: 2025-11-03 08:15:23
Última conexión: 2026-01-10 22:47:15
Usuario: investigador_xPaso 2: Correlación con actividad de archivos
Del registro de eventos y prefetch:
- 2026-01-10 22:30-23:00: Acceso a carpeta “Proyectos Confidenciales”
- 2026-01-10 22:45: Ejecución de xcopy.exe (copia de archivos)
- 2026-01-10 22:47: Última actividad del USB
Paso 3: Archivos LNK (accesos directos recientes)
Encontré LNK files apuntando a:
E:\Backup_Personal\Formula_XYZ.xlsx
E:\Backup_Personal\Proceso_Fabricacion.pdf
E:\Backup_Personal\Base_Proveedores.csvEsto demostraba qué archivos se accedieron desde el USB.
Análisis del USB (Intervenido Posteriormente)
Tras orden judicial, se intervino el USB del investigador:
Archivos activos encontrados:
- Carpeta “Backup_Personal” con 147 archivos
- Documentos coincidentes con los identificados en LNK files
Archivos eliminados recuperados:
- 23 archivos adicionales que intentó borrar antes de la intervención
- Incluían versiones anteriores de las fórmulas
Metadatos analizados:
- Autor de documentos: “Farmacéutica SA”
- Fechas de creación: Coincidentes con la noche del 10 de enero
- Rutas internas: Referencias a servidores de la empresa
Resultado
El informe pericial documentó:
- Qué USB específico se usó (identificado por número de serie)
- Cuándo se conectó y cuánto tiempo
- Qué archivos se copiaron (por correlación de LNK y metadatos)
- Archivos eliminados que demostraban intento de ocultación
La empresa procedió con despido disciplinario y denuncia penal.
Herramientas Especializadas
Análisis de Artefactos USB
| Herramienta | Función | Plataforma |
|---|---|---|
| USBDeview | Listar USB conectados históricamente | Windows |
| USB Forensic Tracker | Análisis detallado de artefactos | Windows |
| Registry Explorer | Análisis de registro de Windows | Windows |
| KAPE | Recolección automatizada de artefactos | Windows |
Análisis de Contenido USB
| Herramienta | Función | Plataforma |
|---|---|---|
| Autopsy | Análisis forense completo | Multiplataforma |
| FTK Imager | Adquisición y análisis básico | Windows |
| Sleuth Kit | Herramientas de línea de comandos | Linux |
| PhotoRec | Recuperación de archivos por firma | Multiplataforma |
USB y Anti-Forense
Técnicas de Ocultación
Los usuarios sofisticados pueden intentar ocultar el uso de USB:
| Técnica | Contramedida |
|---|---|
| Borrar archivos del USB | Recuperación de espacio no asignado |
| Limpiar registro de Windows | Logs de eventos, setupapi.dev.log |
| Usar USB sin número de serie | Análisis de otros artefactos |
| Cifrar contenido del USB | Análisis de artefactos de uso |
| USB en Live CD | Sin rastros en sistema host |
Límites del Análisis
Lo que No Puedo Determinar
El análisis USB tiene limitaciones: puedo probar que un USB se conectó y qué archivos se accedieron, pero si el usuario copió a otro dispositivo después o envió por email, necesito análisis adicionales.
USB Maliciosos (BadUSB)
Además de la fuga de datos, los USB pueden ser vectores de ataque:
Tipos de USB Maliciosos
| Tipo | Función | Riesgo |
|---|---|---|
| Rubber Ducky | Simula teclado, ejecuta comandos | Alto |
| BadUSB | Firmware modificado malicioso | Alto |
| USB Killer | Descarga eléctrica que daña hardware | Destructivo |
| USB con autorun malware | Infección automática | Medio (mitigado en Windows modernos) |
Análisis Forense de USB Maliciosos
Cuando sospecho de un USB malicioso:
- Nunca conectar directamente: Usar máquina aislada o sandbox
- Analizar firmware: Detectar modificaciones BadUSB
- Examinar particiones ocultas: Malware puede esconderse
- Revisar descriptores USB: Identificar si simula otro dispositivo
Consideraciones Legales en España
Obtención del USB
| Escenario | Requisito Legal |
|---|---|
| USB propiedad de la empresa | Política de uso que lo permita |
| USB personal del empleado | Autorización judicial |
| USB intervenido por policía | Orden judicial |
| USB entregado voluntariamente | Consentimiento documentado |
Validez Probatoria
Para que el análisis tenga validez judicial:
- Cadena de custodia: Documentar quién tuvo el USB y cuándo
- Hash de la imagen: Demostrar que no se alteró
- Metodología reproducible: Que otro perito pueda verificar
- Informe claro: Explicar hallazgos de forma comprensible
Conclusión
El análisis forense de USB es una disciplina aparentemente simple pero con matices técnicos importantes. La combinación del análisis del dispositivo y de los artefactos en el sistema host permite reconstruir con detalle qué información se extrajo, cuándo y por quién.
Como perito informático, mi labor es convertir estos rastros técnicos en pruebas comprensibles y con validez judicial, ayudando a empresas y tribunales a establecer la verdad de los hechos.
¿Sospechas que se ha extraído información mediante dispositivos USB? Contacta con Digital Perito para un análisis forense completo de artefactos USB y dispositivos.
Última actualización: 3 de febrero de 2026 Categoría: Forense Digital Código: USF-001
Preguntas Frecuentes
¿Se puede saber qué archivos se copiaron a un USB?
Sí, mediante análisis de artefactos del sistema operativo: registros de Windows, logs de eventos, y rastros en el USB. Aunque los archivos se borren del USB, pueden quedar huellas de los nombres y fechas en el equipo de origen.
¿Se puede identificar qué USB se conectó a un ordenador?
Sí, Windows guarda un historial detallado de todos los USB conectados: número de serie, fabricante, modelo, primera y última conexión. Este historial persiste incluso tras desconectar el dispositivo.
¿Se pueden recuperar archivos borrados de un USB?
En muchos casos sí, especialmente si no se ha sobrescrito el espacio. Las memorias USB suelen usar sistemas de archivos FAT32 o exFAT que facilitan la recuperación. El éxito depende del tiempo transcurrido y el uso posterior del dispositivo.
Términos Relacionados
Data Exfiltration
Extracción no autorizada de datos desde los sistemas de una organización hacia ubicaciones externas controladas por el atacante o empleado desleal.
Imagen Forense
Copia exacta bit a bit de un dispositivo de almacenamiento que preserva toda la información original, incluyendo archivos borrados y espacio no asignado, para su análisis forense.
Metadatos
Datos sobre los datos: información adicional embebida en archivos digitales que describe cuándo, dónde, cómo y por quién fueron creados o modificados.
Cadena de Custodia
Procedimiento documentado que garantiza la integridad, autenticidad y trazabilidad de la evidencia digital desde su recolección hasta su presentación en juicio.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita