NEMIA UY

Newsletter de Ciberseguridad para Uruguay

CLUSIL evaluó el riesgo humano detrás de los dispositivos USB abandonados

Experimento controlado en Luxemburgo durante 2025

En el verano de 2025, CLUSIL —asociación luxemburguesa de referencia en seguridad de la información— llevó adelante un experimento controlado para evaluar la interacción entre curiosidad humana y riesgo cibernético. La iniciativa consistió en la distribución de aproximadamente 250 dispositivos USB en espacios públicos del país, incluyendo estaciones ferroviarias, parques, centros de negocios y eventos tecnológicos, con el objetivo de observar el comportamiento de quienes encontraran estos soportes externos.

Metodología y objetivos del proyecto

El denominado "Projet USB : Analyse expérimentale des risques associés aux clés USB" fue diseñado para simular escenarios reales en los que un individuo se enfrenta a un dispositivo USB desconocido. El propósito fue medir patrones de decisión que pudieran derivar en exposición a amenazas, tanto a nivel individual como organizacional.

El estudio partió de un supuesto ampliamente documentado en ciberseguridad: los dispositivos USB representan un vector de ataque significativo. Más allá del almacenamiento de archivos, estos dispositivos pueden emular periféricos como teclados (ataques tipo HID), tarjetas de red o puntos de acceso Wi-Fi, facilitando la ejecución automatizada de comandos, la exfiltración de datos o la evasión de controles de seguridad sin requerir interacción consciente del usuario.

Principales resultados

De las 300 unidades preparadas y 240 efectivamente distribuidas, 39 fueron recogidas e insertadas en equipos, lo que representa una tasa de interacción del 16 %. Esta cifra se encuentra alineada con estudios similares realizados por otras organizaciones internacionales, que reportan tasas cercanas al 17 %.

  • Mayor exposición en entornos educativos: las ubicaciones próximas a centros educativos registraron una tasa de acceso del 31 %, lo que sugiere una mayor propensión a la curiosidad en perfiles demográficos jóvenes.
  • Tiempos de respuesta reducidos: algunas memorias fueron conectadas en menos de 30 minutos tras su colocación, mientras que otras tardaron hasta 133 días. La mediana fue de tres días, y ocho dispositivos fueron accedidos el mismo día de su depósito.
  • Reacciones organizacionales diferenciadas: en un caso documentado, una organización luxemburguesa que encontró múltiples dispositivos activó un protocolo interno en menos de 45 minutos, incluyendo comunicación institucional, aislamiento en entorno controlado, análisis forense preliminar y contacto con un CERT tras detectar un archivo inusual.
  • Comportamientos paradójicos: incluso profesionales y estudiantes vinculados a la ciberseguridad accedieron inicialmente al contenido antes de contactar a los organizadores, reforzando la hipótesis de que la curiosidad puede superar la formación técnica.

Diseño ético y controlado

El experimento fue desarrollado bajo estrictas garantías éticas. No se incorporó malware en los dispositivos y la metodología fue validada por expertos independientes. Los CERT luxemburgueses fueron informados previamente de la iniciativa.

Cada dispositivo contenía archivos inocuos —documentos, imágenes o videos— junto con un archivo HTML que registraba accesos mediante una conexión benigna a un servidor web, sin recolectar información personal ni comprometer la privacidad de los usuarios.

El impacto ambiental estimado del proyecto fue de 27 kg de CO₂ por las 300 memorias preparadas, considerado por los organizadores como compensado por el valor preventivo y educativo del estudio.

Presentación: los resultados fueron presentados el 8 de diciembre de 2025 en la Luxembourg House of Cybersecurity (LHC), durante un evento organizado por CLUSIL, con análisis estadísticos, testimonios de campo y debate sobre factores conductuales del riesgo.

Implicancias para la gestión de riesgos

Las conclusiones del informe enfatizan que el riesgo asociado a los dispositivos USB no es exclusivamente tecnológico, sino eminentemente humano. La interacción con un objeto aparentemente inofensivo puede activar cadenas de compromiso con impacto significativo.

  • Políticas estrictas de control de medios removibles.
  • Integración de escenarios de dispositivos externos en planes de continuidad y gestión de crisis.
  • Programas continuos de concientización y capacitación conductual.
  • Controles técnicos como deshabilitación de puertos, segmentación de red y monitoreo de dispositivos HID no autorizados.

Conclusión: el experimento de CLUSIL confirma que la curiosidad sigue siendo un factor crítico de exposición y que la madurez organizacional depende de combinar controles técnicos, protocolos de respuesta y entrenamiento conductual continuo.

CLUSIL, que actualmente cuenta con aproximadamente 150 miembros y forma parte de la federación ICTLuxembourg, celebrará en 2026 tres décadas de actividad promoviendo buenas prácticas en seguridad de la información en Luxemburgo.

Fuente: Publicación en LinkedIn sobre el proyecto USB de CLUSIL.

Volver a noticias internacionales