Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Rubber Ducky, ¿una simple memoria USB?

Fecha de publicación 03/01/2023
Autor
INCIBE (INCIBE)
Mujer conectando memoria USB

Las memorias USB son elementos cotidianos que utilizamos, tanto en el ámbito personal como en el laboral. Nos permiten compartir documentos, fotos, vídeos o simplemente almacenar información que queremos tener a mano. Sin embargo, no siempre somos conscientes de los riesgos a los que nos exponemos al utilizarlas, ni de la importancia de tomar las medidas de seguridad pertinentes. Los ciberdelincuentes, conscientes de la carencia de ciertas medidas de seguridad en las empresas, se valen de estos dispositivos para colarse en ellas. Por este motivo, hoy hablamos sobre la amenaza conocida como Rubber Ducky y cómo puedes prepararte para hacerle frente. 

¿Qué es un Rubber Ducky y en qué se diferencia de una memoria USB?

Las memorias USB son dispositivos de almacenamiento de datos externos que habitualmente utilizamos para guardar archivos o copiarlos en otros equipos. Estas se pueden llegar incluso a configurar para que ejecuten secuencias de comandos o ‘acciones automatizadas’ (script en inglés), de copiado y pegado, pero requieren algún tipo de acción por nuestra parte (como, por ejemplo, hacer doble clic en un archivo), para que se lleven a cabo.

El Rubber Ducky tiene la apariencia de una simple memoria USB. Sin embargo, se trata de un dispositivo de interfaz humana (Human Interface Device, HID por sus siglas en inglés), es decir, un dispositivo de entrada y salida que permite la interacción con el equipo, como lo hacen los teclados y los ratones. En este caso, nuestro ordenador lo identifica como un teclado, pasando de manera inadvertida nuestras defensas, lo que le permite simular pulsaciones, como si se tratara de una persona física. 

Obteniendo acceso a la corriente del equipo, un Rubber Ducky puede comenzar a ejecutar una secuencia de comandos programados para copiar archivos o llevar a cabo una serie de acciones preestablecidas llegando a comprometer gravemente la seguridad de nuestra información y sistemas.

¿Qué amenaza supone para mi empresa?

Desde que se lanzó el primer Rubber Ducky hace más de 10 años, se ha desarrollado ampliamente su funcionalidad, pudiendo almacenar nuevas variables y controles. También, se ha mejorado su flexibilidad para verificar el tipo de dispositivo al que se conecta, lo que le confiere una mayor efectividad para ejecutar el ataque, aumentando los riesgos asociados.

Este dispositivo puede configurarse para la obtención de credenciales ya que puede registrar las teclas que pulsamos en cualquier momento, como por ejemplo, al acceder a los distintos servicios de nuestra organización o a la cuenta bancaria, tratándose de uno de los riesgos más importantes.

Aunque, también, se pueden emplear en tareas como la automatización de procesos, son más conocidos por su capacidad de proporcionar acceso remoto a los sistemas y por ende permitir a los ciberdelincuentes llevar a cabo acciones, como el robo de información

¿Cómo podemos identificarlos?

Como hemos comentado, este tipo de dispositivos pueden presentar el mismo aspecto que una memoria USB cualquiera, por lo que a simple vista no serían detectables. Tendríamos que abrirlos físicamente para encontrar los componentes que los distinguen de las memorias USB.

La manera en la que un pendrive llega a nuestras manos también podría hacer saltar las alarmas, ya que podemos ser objeto de una estrategia de ingeniería social. En concreto, se han detectado campañas en las que se enviaban paquetes regalo acompañados de estos dispositivos. Otro método es abandonarlo en zonas donde alguien lo encuentre, con vistas a que lo conecte a su ordenador, víctima de la curiosidad por descubrir su contenido o pensando en la posibilidad de descubrir quién es su legítimo dueño y poder devolvérselo. Por ello, en ningún caso, debemos conectar un dispositivo de estas características del cual no se lleve un control dentro de la organización. 

¿Cómo protegernos?

Contar con una política de uso de dispositivos de almacenamiento externo de empresa es clave para proteger la información corporativa que almacenan y la de los equipos a los que se conectan. Esta política debe regular los dispositivos autorizados, condiciones de uso, cómo se accede a la información, o las configuraciones de seguridad, entre otras medidas. 

Así pues, concienciar a los miembros de nuestra organización en la protección, vigilancia y buen uso de estos dispositivos nos ayudará a prevenir este tipo de amenazas. Además, mantener los sistemas actualizados, contar protección  antimalware, cifrar la información o aplicar la autenticación de doble factor son acciones clave para protegernos ante cualquier ataque.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).