Memorias USB en la oficina: por qué ese pendrive de regalo de la feria es un problema

Las memorias USB parecen inofensivas, pero son una de las formas más sencillas de introducir malware o de que datos confidenciales salgan sin que nadie se dé cuenta. Un enfoque práctico para pymes.

Los conoces bien: ese montón de pendrives que reparten en las ferias del sector, la tarjeta de memoria que trae un cliente con un "te paso estos archivos rápido", o el stick que lleva años en el cajón de arriba del escritorio. Parecen inofensivos. En la práctica, son una de las formas más sencillas de que el malware entre en la oficina — y de que datos sensibles salgan sin que nadie lo note.

En este artículo: por qué las memorias USB son un punto ciego en muchas pymes, y qué puedes hacer al respecto sin herramientas costosas.

Por qué este problema es mayor de lo que parece

Hay tres riesgos, y los tres ocurren a la vez:

• Malware a través de un pendrive encontrado o recibido. Alguien lo conecta para ver qué contiene. Con abrir un archivo equivocado ya es suficiente.
• Fuga de datos. Un empleado que se va, un compañero estresado que "sigue trabajando desde casa un momento", o alguien que copia accidentalmente la carpeta equivocada. Nadie lo ve, nadie lo registra.
• Pendrives perdidos. Un stick con datos de clientes olvidado en un tren es, bajo el GDPR, un incidente de seguridad de datos. Con obligación de notificación.

Lo complicado: normalmente no hay ningún incidente que te despierte. Hasta que lo hay.

Lo que hacen la mayoría de las pymes ahora (y por qué no es suficiente)

Pregunta en la oficina y normalmente escucharás: "La verdad es que no hacemos nada al respecto." A veces el manual del empleado incluye una frase como "ten cuidado con los dispositivos de almacenamiento externos". Eso no es una política, es un deseo.

Lo que falta es algo concreto: qué está permitido, qué no, y cómo sabes si la gente lo cumple.

Un enfoque viable en cuatro pasos

1. Decide si realmente necesitas almacenamiento USB

Pregunta honesta: ¿para qué usáis los pendrives? En 9 de cada 10 casos la respuesta es "compartir archivos", y para eso hoy en día tienes SharePoint, OneDrive, Google Drive o WeTransfer. Más seguro, con trazabilidad, y sin tener que buscar ese pendrive concreto.

Si el almacenamiento USB no es necesario para el trabajo, simplemente desactívalo. En Windows es cuestión de una sola configuración mediante directiva de grupo o Intune. En Mac, igual.

2. Establece una regla clara y única

Por ejemplo: "En los portátiles de trabajo no se utilizan dispositivos de almacenamiento USB externos. Los archivos los compartimos a través de [nombre de tu servicio en la nube]. Las excepciones se gestionan a través de [nombre]."

Una sola frase. Todo el mundo la entiende. Y sabes a quién llamar cuando realmente no hay otra opción.

3. Gestiona las excepciones de antemano

Siempre hay casos legítimos: una imprenta que solo trabaja con pendrive, un notario, un proveedor con su propio dispositivo. Para esos casos:

• Usa pendrives con cifrado por hardware (con PIN en el propio dispositivo). Cuestan aproximadamente entre 40 y 80 euros la unidad.
• Asígnalos de forma nominal. Nada de una bandeja con pendrives que van de mano en mano.
• Registra quién tiene qué pendrive. Al marcharse: devuelta, igual que el portátil y la tarjeta de empresa.

4. Incorpóralo al proceso de incorporación y de baja

Al incorporarse, explicas la norma. Al darse de baja, compruebas: ¿han sido devueltos todos los pendrives asignados? Esto pertenece a tu checklist de offboarding, junto a las cuentas y las llaves.

¿Y ese pendrive que lleva años en el cajón?

Haz una ronda por la oficina esta semana. Busca en cajones, en bolsas, en esa bandeja junto a recepción. Recoge todo. Lo que sea de la empresa y no contenga nada sensible: bórralo y reutilízalo (o tíralo). Lo que sea desconocido: no lo conectes, simplemente destrúyelo. Partir un pendrive con unas tijeras es gratis y definitivo.

Para los dispositivos de almacenamiento móvil con posible información sensible: borrado seguro o destrucción física. Un formateo no es suficiente — los archivos a menudo pueden recuperarse.

La conexión con tu enfoque de seguridad general

La política de USB no existe de forma aislada. Forma parte de la misma categoría de medidas que tu gestor de contraseñas, tu doble factor de autenticación y el control de quién tiene acceso a qué sistemas. Todas son pequeñas cosas que juntas marcan la diferencia entre "hemos tenido suerte" y "simplemente lo tenemos bien organizado".

Ya que estás ordenando y reforzando la seguridad: es un buen momento para revisar también quién puede seguir iniciando sesión en tus sistemas. Muchas veces la gente se sorprende de lo que encuentra.

Para terminar

Las memorias USB no son el gran problema de tu seguridad. Pero sí son un ejemplo típico de un tema que parece demasiado pequeño para abordarlo — hasta que algo sale mal. Media hora dedicada a definir una política y una ronda por la oficina son suficientes para dejarlo resuelto.

¿Quieres revisar de forma más amplia quién tiene acceso a qué en tus sistemas? Entonces nuestra revisión de accesos es el siguiente paso lógico. Y si todavía tienes dudas sobre los fundamentos de la seguridad de tu correo, echa un vistazo a configurar SPF/DKIM/DMARC — suele ser donde se encuentra el primer agujero real.