Qué hacer si Windows detecta una amenaza al conectar un USB

¿Qué hacer si Windows detecta una amenaza al conectar un USB? Si al conectar un pendrive tu ordenador se queda pensando, los archivos no aparecen o de repente Windows Defender salta con un aviso de amenaza en la unidad USB, es normal que te entren las dudas: ¿es un virus real?, ¿un falso positivo?, ¿pongo en cuarentena, elimino o restauro?, ¿se habrán perdido mis documentos? Aunque asuste, es una situación bastante común cuando usamos memorias USB en ordenadores compartidos, públicos o poco protegidos.

Además, muchos usuarios se encuentran con casos extremos: archivos que desaparecen o se vuelven accesos directos extraños, extensiones raras como “.lmk”, o unidades que tardan una eternidad en abrir. En otros escenarios, Defender o el navegador bloquean descargas legítimas asegurando que “se ha detectado un virus”, cuando en realidad todo apunta a un falso positivo. Vamos a ver, paso a paso, cómo manejar estos casos con cabeza, sin perder datos y minimizando el riesgo de infección.

Por qué los USB son una vía tan peligrosa para los virus

Cuando pensamos en malware solemos mirar a Internet, webs raras o correos sospechosos, pero las memorias USB son una de las puertas de entrada más habituales de virus al PC. La comodidad de meter y sacar el pendrive de cualquier equipo hace que también se conviertan en un vehículo perfecto para propagar infecciones.

Un pendrive se puede contaminar en un cibercafé, en el ordenador del instituto, en el PC del trabajo o incluso en ese viejo ordenador de casa sin actualizar ni antivirus activo. Aunque confíes en tus amigos o compañeros, sus equipos pueden estar infectados sin que lo sepan y, al conectar tu USB, el virus salta a tu unidad en segundos.

Estos códigos maliciosos suelen aprovechar funciones como la ejecución automática, accesos directos falsos o archivos ocultos para esconder tus documentos, clonar carpetas o instalarse en segundo plano. Después, cada vez que conectes ese USB a otro PC, seguirá extendiéndose como si fuera una plaga portátil.

Por eso, aunque tu intención sea solo “imprimir unos documentos” o “pasar un trabajo rápido”, usar pendrives en equipos públicos, inseguros o poco mantenidos es un riesgo considerable. Y lo mismo ocurre si tú prestas la memoria USB a alguien sin saber en qué ordenadores la va a enchufar.

Qué hacer cuando Windows detecta una amenaza al conectar un USB

Cuando conectas una memoria y Windows Defender muestra un mensaje de alerta, lo primero es mantener la calma y no abrir nada. La prioridad en ese momento es evitar que el malware se ejecute o se copie al disco duro del ordenador.

En cuanto salga el aviso, revisa los detalles de la detección dentro de Seguridad de Windows. Defender suele ofrecer opciones como Quitar, Poner en cuarentena o Permitir en el dispositivo. Si no tienes claro de qué va el archivo sospechoso, lo prudente es optar por cuarentena o eliminación.

Una vez tomada la primera decisión sobre el archivo detectado, conviene lanzar un análisis completo o al menos un análisis profundo de la unidad USB. Así te aseguras de que no se han colado otros ficheros maliciosos, accesos directos infectados o el típico “autorun.inf” modificado que se aprovecha de la ejecución automática.

Si el antivirus indica que no puede limpiar ciertos elementos o que la amenaza no se ha eliminado completamente, no insistas en abrir ni recuperar esos archivos dudosos. En muchos casos, la opción realista para garantizar la seguridad es formatear el pendrive por completo y asumir la pérdida de lo que no puedas rescatar de forma segura.

En situaciones de sospecha grave (ordenador muy comprometido, USB extremadamente lento, mensajes raros) también puedes desconectar rápidamente el equipo de Internet o tu dongle USB de red para evitar conexiones remotas o robo de información mientras gestionas la amenaza.

Virus reales vs falsos positivos: cómo distinguirlos

No todas las alarmas de Windows Defender significan que tengas un problema real. A veces, el antivirus o incluso el navegador pueden marcar como peligroso un archivo que en realidad es legítimo. Es lo que se conoce como falso positivo.

El sistema de seguridad de Windows se basa en varias técnicas de detección: firmas digitales, análisis heurístico y bases de datos de amenazas. Las firmas permiten identificar malware conocido, mientras que las heurísticas buscan comportamientos sospechosos, aunque el virus no esté en la base de datos. Esto es útil, pero también aumenta la posibilidad de confundir un programa legítimo con una amenaza.

Algunos tipos de software tienen conductas muy parecidas a las del malware: compresores y empaquetadores de ejecutables, activadores y cracks, herramientas de hacking, programas que modifican archivos del sistema o que inyectan publicidad. El antivirus, por seguridad, suele ponerse en modo paranoico y bloquearlos.

También pueden aparecer falsos positivos por errores temporales en las definiciones de virus del propio Defender. Ha habido casos en los que aplicaciones muy conocidas y legítimas (como navegadores basados en Chromium, Spotify o Discord) se han marcado durante unas horas o días como maliciosas hasta que Microsoft ha lanzado una actualización corrigiendo el fallo.

Para comprobar si estás ante un falso positivo, una buena práctica es analizar el archivo o la URL con un servicio como VirusTotal. Subes el fichero o pegas la dirección y varios motores antivirus te indican si detectan algo raro. Si solo tu antivirus lo marca como amenaza, pero el resto lo ve limpio, probablemente estés ante un falso positivo.

Cuando tus archivos del USB desaparecen o cambian de forma

Uno de los síntomas más comunes de infección por USB es que, al abrir la unidad, tus carpetas parecen haber desaparecido y solo ves accesos directos extraños o archivos con extensiones raras. También puede ocurrir que el pendrive tarde muchísimo en abrirse o que aparezcan mensajes de error al intentar acceder.

En algunos casos, el malware no borra tus documentos, sino que los oculta y los sustituye por accesos directos o ficheros falsos. Por ejemplo, hay infecciones que cambian la estructura de las carpetas y dejan todo “escondido” hasta que ejecutas el virus sin querer, pensando que estás abriendo tu contenido.

Si sospechas que este es tu caso, puedes intentar recuperar los archivos visibles mediante el comando attrib en el Símbolo del sistema. Abre CMD, ve a la letra de tu unidad (por ejemplo, E:) y ejecuta una orden del tipo:

attrib -h -r -s /s /d E:\*.*

Con esta instrucción, le estás diciendo a Windows que quite los atributos de oculto, solo lectura y de sistema a todos los archivos y carpetas de ese USB, lo que suele hacer que reaparezcan las carpetas originales. Eso sí, este método no elimina el virus; solo te ayuda a ver y rescatar tus datos.

Después de recuperar lo que puedas, pasa un buen antivirus sobre la unidad y valora seriamente copiar los archivos limpios a otro medio y luego formatear el pendrive. Mantener un USB con un historial de infección sin limpiarlo bien es pedir que la historia se repita en otros equipos.

Cómo eliminar virus de un USB con antivirus y con CMD

La forma más directa de limpiar un pendrive infectado es usar un buen antivirus o antimalware actualizado. Conecta la memoria, abre tu solución de seguridad y lanza un análisis específico de esa unidad externa para que detecte y aísle cualquier código sospechoso.

Cuando el escaneo termine, revisa el informe: normalmente el programa ofrecerá opciones para eliminar los archivos maliciosos o ponerlos en cuarentena. Es importante comprobar que, tras la limpieza, puedes acceder a tus documentos sin que vuelvan a aparecer avisos o accesos directos raros.

Si el antivirus indica que ha eliminado todo pero sigues viendo comportamientos extraños, puedes repetir el análisis con un segundo antimalware especializado o usar una herramienta de seguridad portátil que no necesite instalación, por si el virus ha intentado desactivar defensas en el sistema.

Otra vía es eliminar manualmente algunos componentes típicos desde el Símbolo del sistema. Por ejemplo, para deshacerte de un virus basado en autorun.inf puedes hacer lo siguiente:

• Abrir CMD como usuario normal o administrador.
• Escribir la letra de la unidad USB (por ejemplo, E:) y pulsar Intro.
• Ejecutar dir /w /a para ver todos los archivos, incluidos los ocultos y de sistema.
• Localizar ficheros sospechosos como autorun.inf, ravmon.exe, new folder.exe, kavo.exe, ntdelect.com, svchost.exe, etc.
• Eliminar esos archivos escribiendo del nombre_archivo (por ejemplo, del autorun.inf) y pulsando Intro.

Tras esta limpieza manual, vuelve a lanzar un análisis antivirus completo sobre el USB para asegurarte de que no queda ningún resto de la infección. La combinación de eliminación manual más escaneo suele ser bastante efectiva en infecciones de accesos directos y autorun.

Signos de que tu USB (o tu PC) puede estar infectado

Conviene aprender a reconocer las señales que indican que un pendrive o el propio ordenador pueden estar comprometidos. Muchos usuarios solo reaccionan cuando ya han perdido datos, pero hay síntomas tempranos que te avisan de que algo huele mal.

Algunos indicios típicos en la unidad USB son que aparezcan dos carpetas con el mismo nombre, iconos de disco reemplazados por iconos de carpeta, opciones raras al hacer clic derecho o errores al abrir la unidad. También es síntoma de virus cuando al hacer doble clic sobre el USB se abre un menú “Abrir con…” en lugar de entrar directamente.

En el PC, el rastro puede ser un rendimiento anormalmente lento, bloqueos frecuentes, ventanas emergentes extrañas, banners que aparecen sin venir a cuento o cambios en la configuración del sistema sin tu permiso. A veces notarás que el antivirus se desactiva solo o que ciertas funciones de seguridad dejan de funcionar.

Otro signo muy claro es encontrar archivos con nombres sospechosos, documentos que ya no se abren, ficheros que desaparecen de sus carpetas habituales o claves del registro modificadas. Muchos virus intentan incrustarse profundamente en el sistema para sobrevivir a reinicios y para ocultar su presencia.

En los casos más graves, el malware puede instalar keyloggers, abrir puertas traseras, activar tu cámara o micrófono, robar contraseñas, datos bancarios o cifrar archivos pidiendo un rescate. Aunque esto pueda sonar a película, son escenarios que se ven a diario en infecciones reales.

Si detectas varios de estos comportamientos a la vez, lo más sensato es desconectar cualquier USB, hacer copias de seguridad urgentes de lo que puedas y pasar varios análisis de seguridad. En situaciones extremas, puede ser necesario formatear y reinstalar Windows, apoyándote en puntos de restauración o copias de seguridad previas.

Cómo actuar con un pendrive “sospechoso” sin poner en riesgo tu PC principal

Cuando tienes un USB que no sabes si viene limpio o infectado, hay formas de examinarlo sin arriesgar tu ordenador principal. La idea es aislar el posible problema en un entorno más controlado o menos sensible.

Una de las soluciones más cómodas es arrancar un PC con una distribución Linux en modo Live (por ejemplo, Ubuntu). No hace falta instalarla en el disco: puedes crear un USB de arranque con Linux, iniciar desde ahí y, una vez en el escritorio de Linux, conectar el pendrive problemático.

La mayor parte del malware que ataca USB está diseñado para Windows, así que en Linux no suele ejecutarse ni causar daño. Podrás revisar el contenido del pendrive, copiar tus archivos importantes a otra unidad, eliminar ficheros sospechosos y, si quieres, pasar un antivirus compatible con Linux sobre la memoria.

Otra opción es usar un equipo de pruebas: un ordenador antiguo, sin datos importantes y preferiblemente desconectado de la red. Lo utilizas solo para analizar memorias dudosas, sabiendo que si se infecta o se estropea no pasa nada grave.

Si tienes acceso a un Mac o a otro sistema operativo distinto de aquel donde crees que se infectó el USB, también puede ayudarte. Un virus pensado para Windows normalmente no se ejecutará en macOS, lo que te permitirá rescatar documentos y formatear después el pendrive sin que se active el malware.

Otra técnica es preparar bien tu PC antes de conectar el USB sospechoso. Asegúrate de que Windows está completamente actualizado, activa todas las funciones de protección de Defender, trabaja desde una cuenta que no sea administradora y, si puedes, inicia en Modo seguro con funciones de red: así el sistema carga lo mínimo imprescindible y se reduce la superficie de ataque.

Uso de herramientas específicas para proteger y escanear USB

Además del antivirus clásico, existen utilidades diseñadas específicamente para controlar lo que ocurre cuando conectas una memoria USB al sistema y bloquear amenazas en el mismo instante en que la enchufas.

Un ejemplo es USB Disk Security y herramientas similares: se ejecutan en segundo plano y monitorizan de forma continua las unidades extraíbles. En cuanto detectan un archivo sospechoso, lo bloquean o lo ponen en cuarentena antes de que tengas tiempo siquiera de hacer doble clic.

Este tipo de software no sustituye al antivirus principal, pero sí actúa como capa adicional de defensa especializada en dispositivos extraíbles. Es especialmente interesante en entornos donde muchas personas conectan USB distintos al mismo ordenador, como oficinas, academias o aulas de informática.

En el mundo de las copias de seguridad también hay soluciones que integran protección antimalware avanzada, como herramientas de backup que escanean los archivos antes y durante la copia. Su ventaja es que reducen la probabilidad de hacer copias de seguridad de ficheros ya infectados, algo que luego complicaría mucho la recuperación segura.

La clave, en cualquier caso, es que mantengas todas estas aplicaciones siempre actualizadas. Un software de seguridad desfasado da una falsa sensación de protección y puede pasar por alto amenazas recientes o técnicas de ofuscación modernas usadas por los atacantes.

Cómo gestionar archivos en cuarentena y falsos positivos con Windows Defender

Cuando Windows Defender detecta algo raro en un archivo, no siempre lo elimina al instante. En muchos casos lo mueve a la cuarentena, una zona segura donde no puede ejecutarse ni dañar el sistema, pero tampoco desaparece del todo.

Para ver qué ha hecho exactamente Defender, abre Seguridad de Windows > Protección antivirus y contra amenazas > Historial de protección. Allí verás las últimas acciones realizadas: alertas de malware, amenazas puestas en cuarentena, amenazas bloqueadas, correcciones incompletas, etc.

Cada entrada suele permitirte elegir entre varias acciones: eliminar definitivamente el archivo, restaurarlo a su ubicación original o permitirlo en el dispositivo. Si tras analizar el caso (por ejemplo, con VirusTotal) estás seguro de que es un falso positivo, puedes restaurarlo y añadirlo a la lista de exclusiones para que Defender no lo vuelva a marcar.

La lista de amenazas en cuarentena no es infinita: Defender solo muestra un número limitado de elementos recientes. Si estás lidiando con un archivo que se detectó hace tiempo y no lo ves, quizá tengas que borrar el historial o volver a provocar la detección para que aparezca de nuevo en la lista.

En casos donde lo que te molesta es una alerta constante de falso positivo, también puedes crear una regla de supresión desde la sección de Incidencias y alertas. Seleccionas el aviso, entras en Detalles y desde los puntos suspensivos creas una regla para que esa alerta concreta deje de aparecer (siempre que no sea crítica).

Como último recurso, hay quien opta por desactivar temporalmente la protección en tiempo real de Defender para poder descargar o mover un archivo que el antivirus bloquea. Si decides hacerlo, hazlo solo durante unos minutos, descarga el archivo, añádelo de inmediato a exclusiones y vuelve a activar toda la protección cuanto antes.

Consejos para evitar que tus USB se infecten (y que infecten otros equipos)

Más allá de limpiar, lo inteligente es prevenir. Con unas cuantas costumbres sencillas puedes reducir muchísimo la probabilidad de que un pendrive se convierta en una granja de virus portátil.

En primer lugar, evita a toda costa conectar memorias USB “encontradas” o de procedencia dudosa. Los atacantes suelen dejar pendrives tirados a propósito en lugares públicos sabiendo que alguien los enchufará por curiosidad. Tampoco mezcles USB personales y de trabajo; si un entorno se infecta, no arrastrarás el problema al otro.

Cuando tengas que usar equipos públicos o no confiables (bibliotecas, copisterías, ordenadores compartidos), valora alternativas: enviar tus documentos por correo electrónico, usar almacenamiento en la nube o imprimir desde servicios web. Hoy en día casi todo se puede hacer sin necesidad de poner físicamente tu memoria en un PC ajeno.

Si no te queda otra que usar el pendrive, antes de desconectarlo revisa su contenido con calma: asegúrate de que solo están tus archivos y carpetas esperados, sin ejecutables raros ni accesos directos que no has creado. Siempre que puedas, escanea el dispositivo con un antivirus (incluso uno online, si el equipo lo permite) antes de sacarlo.

En tu propio ordenador, acostúmbrate a analizar cualquier USB antes de abrirlo. Desde el Explorador de archivos puedes hacer clic derecho sobre la unidad y elegir la opción de buscar virus con tu solución de seguridad. Es un gesto rápido que puede ahorrarte muchos disgustos.

Por último, no olvides que, aunque tengas cuidado con los pendrives, visitar webs dudosas o descargar programas de fuentes piratas sigue siendo una fuente enorme de infecciones. Un solo archivo descargado de un sitio poco fiable puede desatar el caos, especialmente si aprovecha vulnerabilidades sin parchear de tu sistema.

Proteger el contenido del pendrive con contraseña y cifrado

Además del riesgo de virus, hay otro peligro evidente: que alguien use tu USB a tus espaldas para copiar datos o introducir malware en él. Una forma de ponerles las cosas más difíciles es proteger la unidad mediante cifrado.

En Windows tienes la herramienta integrada BitLocker (en ciertas ediciones del sistema), que permite cifrar por completo el contenido del pendrive. El proceso básico es sencillo: conectas el USB, haces clic derecho sobre la unidad en “Este equipo” y eliges “Activar BitLocker”.

En el asistente, marca la opción “Usar una contraseña para desbloquear la unidad” y elige una clave robusta que no sea fácil de adivinar. A continuación, selecciona “Cifrar toda la unidad” y deja que el sistema termine el proceso. A partir de ese momento, cualquiera que quiera acceder al contenido necesitará la contraseña.

Este tipo de protección no impide todo tipo de infecciones (un virus podría acceder mientras la unidad esté desbloqueada), pero sí dificulta que otros escriban o manipulen datos sin tu permiso, por ejemplo si el USB se queda en un aula, una oficina o un lugar compartido.

Si utilizas otros sistemas operativos o quieres algo multiplataforma, herramientas como VeraCrypt permiten crear volúmenes cifrados en el interior del pendrive. Básicamente generas un “contenedor” protegido con contraseña dentro de la unidad y solo lo montas cuando necesitas trabajar con esos datos.

Cuándo conviene destruir o desechar un USB infectado

Hay casos extremos en los que, por muy drástico que suene, lo más sensato es dar por perdido el pendrive y desecharlo. Puede ocurrir cuando el contenido es especialmente peligroso, cuando la limpieza no termina de ser fiable o cuando no hay ningún archivo importante que justifique correr riesgos.

Si todavía puedes conectarlo sin que pase nada grave, una opción es hacer un formateo de bajo nivel y posterior sobrescritura de datos con herramientas como DBAN y similares. Este tipo de procesos escriben datos aleatorios varias veces sobre la memoria para que resulte prácticamente imposible recuperar información antigua.

Si temes que incluso conectarlo unos segundos pueda comprometer un equipo, puedes optar por daño físico directo: taladrar el pendrive, aplastarlo, cortarlo o exponerlo a calor extremo. Evidentemente, en ese punto el dispositivo quedará totalmente inservible.

En cualquier caso, hay que tener en cuenta el impacto medioambiental de tirar dispositivos electrónicos. Lo ideal es llevarlos a un punto limpio o centro de reciclaje especializado, en lugar de quemarlos o tirarlos sin más a la basura. Así se gestionan sus componentes de forma más segura.

Si el USB es antiguo, barato y no alberga nada especialmente valioso, a menudo compensa más hacerte con una memoria nueva (hoy en día son muy asequibles) que invertir tiempo y asumir riesgos intentando salvar un dispositivo comprometido.

Con todo lo anterior en mente, la mejor manera de evitar sustos cuando Windows detecta una amenaza al conectar un USB pasa por combinar sentido común, copias de seguridad, un buen antivirus configurado con cabeza y hábitos prudentes al usar pendrives en equipos ajenos o poco protegidos; así tus datos y tus ordenadores estarán mucho más a salvo, y cualquier incidente con una memoria USB será, como mucho, una molestia puntual y no una catástrofe.