Los objetos más inocentes pueden esconder amenazas poderosas. El USB «Rubber Ducky» parece un pendrive corriente, pero en realidad es una herramienta de ataque diseñada para suplantar un teclado y ejecutar comandos al instante en el equipo al que se conecte. En manos de un atacante puede comprometer una máquina en segundos; en manos de un auditor de seguridad, sirve para demostrar vulnerabilidades reales y mejorar defensas.
Un Rubber Ducky no es mágico: es un dispositivo USB programable que, al enchufarlo, se identifica ante el sistema operativo como un teclado HID (Human Interface Device). Los sistemas confían en los teclados por defecto —el SO los reconoce como periféricos seguros— y eso es lo que explota la herramienta.
El dispositivo lleva un script (escrito habitualmente en Ducky Script) con una secuencia de «teclas» predefinidas. Al conectarlo, el sistema cree que un usuario rápido está escribiendo en el teclado y ejecuta comandos como si fueran pulsaciones humanas. En segundos puede:
- Abrir una terminal o PowerShell.
- Elevar privilegios y crear una cuenta administrativa.
- Descargar y ejecutar malware.
- Desactivar cortafuegos, modificar registros del sistema o instalar puertas traseras.
- Robar credenciales o iniciar exfiltración de datos.
No necesita vulnerabilidades de software ni permisos especiales en la mayoría de casos: basta la presencia física y que el puerto USB acepte el dispositivo. Por eso los riesgos son reales en entornos donde la seguridad física no está controlada.
¿Qué puede hacer un atacante con él?
Las acciones posibles dependen del script, pero entre las más habituales están:
- Automatizar la instalación de malware avanzado.
- Crear accesos remotos persistentes (RATs).
- Ejecutar herramientas de captura de contraseñas.
- Modificar políticas de seguridad para permitir accesos futuros.
- Borrar o cifrar datos (ransomware) en pocos minutos.
Al ser indistinguible de un teclado para el sistema, las soluciones antivirus tradicionales no lo detectan como dispositivo malicioso; lo que hace visible la intrusión suele ser el tráfico de red posterior o comportamientos anómalos del sistema.
Cómo protegerte del Rubber Ducky
La buena noticia: el ataque requiere acceso físico al puerto USB. Lo malo: ese acceso puede obtenerse en segundos en oficinas, ferias, vehículos o espacios compartidos. Estas medidas reducen el riesgo:
- No conectes unidades USB desconocidas. Si encuentras un pendrive, no lo uses.
- Desactiva la ejecución automática de medios (autorun) y restringe dispositivos HID en equipos sensibles.
- Configura políticas de grupo (GPO) o herramientas MDM para bloquear la instalación de nuevos dispositivos HID o limitar cuentas con permisos mínimos.
- Usa puertos USB bloqueados físicamente en entornos críticos o cubiertas que impidan conexiones no autorizadas.
- Implementa control de listas blancas: permitir solo dispositivos USB identificados y aprobados por la empresa.
- Supervisa actividad inusual: creación de cuentas, procesos no autorizados, o descargas repentinas desde cmd/powershell.
- Capacita al personal: advierte sobre el peligro de enchufar USB encontrados o prestados.
¿Es solo cosa de ciberdelincuentes?
No: los Rubber Ducky también son herramientas legítimas de seguridad usadas por pentesters y equipos de red team para evaluar la resiliencia física y las políticas de una organización. El objetivo moral y técnico determina su uso.
En resumen, un USB aparentemente inocente puede ser una llave maestra. La combinación de prevención física, políticas de puerto USB y monitorización reduce significativamente el riesgo.