Deshabilitar dispositivos USB en Windows, Mac o Linux

/ junio 1, 2018

 Debemos saber que el uso de almacenamiento USB en nuestro equipo tiene un alto riesgo de seguridad. En lugar de arriesgarse a infecciones de malware (por ejemplo, troyanos, Keyloggers o ransomware), puede ser mejor desactivar por completo los dispositivos de almacenamiento USB si nuestro sistema tiene muchos datos confidenciales o importantes.

Bloqueo de almacenamiento USB: ventajas y desventajas

Si nos preocupa la posibilidad de que se introduzca malware en nuestro ordenador a través del almacenamiento USB, entonces es aconsejable que consideremos la posibilidad de deshabilitar esta opción. Pero viene con una desventaja.

Lo más evidente es que no podremos usar el almacenamiento USB. Pero si podremos usar el almacenamiento en la nube. Pero, si necesitamos un medio para intercambiar datos regularmente entre dos equipos y la nube, no es una opción.

Sin embargo, bloquear las USB puede ser una tarea que requiere mucho tiempo si no sabemos lo que estamos haciendo. A continuación, veremos los pasos en Windows 10, Mac y Ubuntu 18.04.

Cómo deshabilitar el almacenamiento USB en Windows

Bloquear el almacenamiento USB en un ordenador con Windows es sencillo. También tenemos varias opciones; los dos primeros a continuación son para eqiupos con Windows 10 Home.

  1. Editar manualmente el registro

Comenzamos presionando Win + R, en el cuadro que nos parece, ponemos “regedit”(Sin las comillas).

Aceptamos el mensaje Control de cuenta de usuario, luego vamos a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR. Aquí, hacemos doble clic en Inicio (o hacemos clic con el botón derecho > Modificar) y editamos el valor.

Para deshabilitar, cambiamos el valor a 4. Si necesitamos volver a habilitar el almacenamiento USB en cualquier momento, simplemente volvemos a cambiar a 3. Hacemos clic en Aceptar cuando hayamos terminado.

Debéis tener en en cuenta que, si planeáis realizar cambios en el registro del sistema, primero debéis hacer una copia de seguridad del registro.

  1. Crear una secuencia de comandos de registro

Alternativamente, podemos realizar una versión basada en texto de la misma tarea creando dos archivos TXT vacíos en el Bloc de notas. Iniciamos el editor de texto y añadimos:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR]

“Start”=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR\Enum]

“Count”=dword:00000000

“NextInstance”=dword:00000000

Guardamos el archivo como deshabilitarusb.reg, asegurándonos de que la extensión del archivo .TXT haya sido reemplazada con .REG; de lo contrario, no funcionará. A continuación, debemos repetir el procedimiento, guardándolo como habilitarusb.reg.

Con el segundo archivo tendremos que realizar una edición en la siguiente línea:

“Start”=dword:00000004

Cambiándolo a:

“Start”=dword:00000003

Guardamos el archivo cuando hayamos terminado. Ahora, cuando necesitemos deshabilitar el almacenamiento USB, ejecutamos deshabilitarusb.reg. Sin embargo, los dispositivos ya conectados no se verán afectados hasta que sean reemplazados. Si necesitamos volver a habilitar el almacenamiento USB, usamos habilitarusb.reg. Guardamos los archivos en un lugar fácil de recordar.

Evitamos que otros usen enableusb.reg no debería ser demasiado difícil. Solo una cuenta de administrador puede ejecutar el archivo, por lo que siempre que no compartamos nuestro perfil (y lo mantengamos bloqueado cuando no nos encontremos en el teclado), debería ser fácil mantenerse seguro.

  1. Utilizar el editor de directivas de grupo

Una tercera opción está disponible para Windows 10 Pro y Enterprise: editando la configuración para el almacenamiento USB en el Editor de políticas de grupo.

Presionamos Win + R para comenzar, e ingresamos “gpedit.msc”. Esto abre el Editor de directivas de grupo, donde debemos expandir Plantillas administrativas > Sistema> Acceso de almacenamiento extraíble. En el panel de la derecha, veremos varios elementos que controlan el acceso a los medios en tu computadora. Tres de estos deben estar habilitados:

  • Discos extraíbles: denegar el acceso de ejecución
  • Discos extraíbles: denegar el acceso de lectura
  • Discos extraíbles: denegar el acceso de escritura

A su vez, hacemos doble clic en cada elemento y hacemos clic en el botón de opción Habilitado. Hacemos clic en Aceptar para confirmar antes de pasar al siguiente elemento.

Ahora, cuando se conecta un dispositivo de almacenamiento USB, aparecerá un mensaje de Acceso denegado en Windows Explorer cuando intentemos abrir la letra de la unidad. Para invertir esto, cambiamos las tres configuraciones enumeradas anteriormente para que cada una esté configurada como Deshabilitada.

Cómo restringir dispositivos de almacenamiento USB en Mac

Para restringir el almacenamiento USB en tu Mac, primero debemos deshabilitar la Protección de Integridad del Sistema (SIP).

A continuación, abrimos Utilidades > Terminal y descargamos el controlador.

kextunload /System/Library/Extensions/IOUSBMassStorageClass.kext/

A continuación, abrimos /System/Library/Extensions y cambiamos el nombre (o nos desplazamos a un lugar seguro) IOUSBMassStorageClass.kext. Un cambio de nombre razonable podría ser cambiar la extensión. KEXT, para que podamos encontrarla fácilmente de nuevo si deseamos volver a habilitar el almacenamiento USB.

Una vez hecho esto, regresamos a la Terminal e ingresamos:

sudo touch /System/Library/Extensions

Esto eliminará los archivos de caché, forzando una reconstrucción sin referencia al archivo renombrado. Ahora, los dispositivos de almacenamiento USB no deberían ser accesibles cuando estén conectados. Sin embargo, otros dispositivos USB deberían funcionar sin problemas.

Cómo bloquear dispositivos de almacenamiento USB en Linux

¿Necesitamos bloquear el almacenamiento USB en nuestra computadora con Linux? .Comenzamos abriendo la Terminal y usando el comando mv (mover) para “ocultar” el controlador USB:

sudo mv /lib/modules/$(uname -r)/kernel/drivers/usb/storage/usb-storage.ko /home/user1

Ahora, cuando se conecta un dispositivo de almacenamiento USB, no funcionará. En resumen, seguirá siendo inaccesible. Tener en cuenta que esto se desharía en el caso de una actualización del kernel.

O mejor aún: controlamos el acceso USB, no lo prohibimos

Si bien el almacenamiento flash USB y portátil puede ser un problema importante, es muy poco lo que se puede hacer. En pocas palabras, mientras que el almacenamiento flash USB puede estar protegido con contraseña, esto no evita el robo de datos, solo la pérdida de datos.

La única solución real es controlar el acceso USB. En casa, esto significa asegurarnos de no permitir que nadie acceda a tu computadora sin nuestro conocimiento (y atención), y mantenerla cerrada cuando no la estemos utilizando. En el lugar de trabajo, limitamos el acceso USB a una proporción manejable de usuarios parecería una política de TI sensata. Esto puede significar la desactivación del acceso al disco USB.