En un equipo podemos ver los dispositivos USB que han sido conectados. La información de los dispositivos USB por defecto es:
- Vendedor/Make/Version
- Número de serie único
En este artículo, veremos un poco más a fondo todo lo relacionado con los dispositivos USB.
¿Qué son los dispositivos USB?
Los dispositivos USB, específicamente los de almacenamiento, son dispositivos portátiles que se utilizan para almacenar datos de forma temporal o permanente. Se conectan a un ordenador a través de un puerto USB y se utilizan para transferir archivos, como documentos, fotos, música y vídeos, de un dispositivo a otro.
Los dispositivos USB están disponibles en diferentes tamaños y capacidades, desde pequeñas unidades USB con capacidad de almacenamiento de unos pocos gigabytes hasta dispositivos de mayor capacidad, que pueden almacenar cientos de gigabytes de datos.
Los dispositivos USB son muy populares debido a su portabilidad, su facilidad de uso y su capacidad para almacenar grandes cantidades de datos en un espacio pequeño. Además, son compatibles con la mayoría de ordenadores modernos y no requieren de software adicional para su uso.
Generalidades
Es posible monitorizar cualquier dispositivo USB que haya sido conectado a la máquina. La localización en donde podemos ver los dispositivos USB conectados es: SYSTEM \ControlSet001 \Enum \USBSTOR
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEsta información puede llegar a ser de mucha utilidad, entre otras cosas, porque:
- Se puede identificar al fabricante, el producto y la versión de un dispositivo MSC que está conectado a la máquina.
- Se puede identificar un único dispositivo USB que ha sido conectado a la máquina.
- Es posible determinar el tiempo por el cual el dispositivo estaba conectado a la máquina.
- Es posible identificar el número de serie.
¿Qué información podemos obtener con los dispositivos USB?
Gracias a los dispositivos USB, podemos obtener, entre otras cosas, la siguiente información:
- Determinar la unidad asignada y el nombre del volumen.
- Encontrar el usuario que utilizó ese dispositivo USB.
- Descubrir la primera vez que el dispositivo USB fue conectado.
- Determinar la última vez que el dispositivo USB fue conectado.
- Determinar cuándo el dispositivo se quitó del sistema.
Analizar dispositivos USB
Para analizar estos dispositivos o verificar cuántos tenemos implementados en nuestro sistema, vamos a abrir Registry Explorer. Una vez abierto el programa, vamos a seleccionar en el menú la opción Live system/SYSTEM:
Una vez dentro, vamos a ir a la siguiente ruta: ROOT /Enum /USBSTOR. La abrimos:
Dentro de USBSTOR tenemos un registro por cada dispositivo USB que esté conectado.
Según la imagen, vemos que se ha insertado un USB T5. Dentro de este programa podemos ver datos como el Timestamp, el Manufacturer, el Title, la Versión, el Disk ID, el Serial number, el Device Name, cuándo fue instalado, la primera vez que fue conectado, la última vez que fue conectado y la última vez que fue extraído.
También podemos ver toda la información acerca de un dispositivo en específico:
Sacar la letra de los dispositivos USB de almacenamiento
Para observar qué letra se le ha asignado a cada uno de los dispositivos USB que tenemos en nuestra máquina, debemos utilizar otra herramienta denominada USB Forensic Tracker. Esta se usa sobre una imagen de disco ya montada, para lo que puedes usar Arsenal Image Mounter.
Lo que haremos, entonces, es descargar la herramienta y seleccionar en el menú de opciones el menú desplegable que hay al lado del cuarto icono, correspondiente a una lupa dentro de un cuadro azul:
Nos aparecen todas las unidades de almacenamiento que tengamos conectadas. Aquí sería necesario especificarle al programa en qué equipo queremos que busque el dispositivo.
Una vez seleccionemos el dispositivo, vamos a clicar en el primer ícono verde, que es el de ejecutar el programa:
Una vez termine de hacer la búsqueda, nos aparecerá el registro con los resultados correspondientes, donde se encuentran, entre otras cosas, la clave del dispositivo, el número de serie, la fecha de conexión y otra información relacionada con los dispositivos USB:
¿Cómo seguir aprendiendo sobre ciberseguridad?
Ya hemos visto qué son los dispositivos USB y cómo analizarlos o acceder a ellos desde diferentes herramientas de uso externo. Si quieres seguir formándote en las distintas disciplinas de la seguridad informática, en KeepCoding tenemos nuestro Ciberseguridad Full Stack Bootcamp, la formación con la que puedes convertirte en un gran profesional IT con la guía de profesores expertos en el mundillo. ¡Pide más información y transforma ya mismo tu carrera profesional!