¿Me pueden infectar de forma oculta por medio de un enlace?

Si, aunque el enlace en sí no va a infectarte, sino lo que suceda después de hacer clic. Los ciberdelincuentes lo hacen todo el tiempo para descargar malware de forma automática, ataques que son conocidos como drive-by download.

¿Cómo lo hacen?

Aprovechando vulnerabilidades del sistema operativo o alguno de sus programas como, por ejemplo, el navegador web. Por el simple hecho de hacer clic en un enlace y acceder a una página infectada o maliciosa, se podrían ejecutar códigos en el navegador que exploten alguna vulnerabilidad e infecten el equipo. Todo ello de forma oculta.

Veamos a modo de ejemplo una demo en el cual un «atacante» le envía un enlace a su «víctima» por chat, la víctima hace clic y se infecta sin saberlo:

Sé que el video puede resultar algo entreverado sobre todo la parte en la cual ingreso algunos comandos en una terminal, pero básicamente lo que hago es utilizar una herramienta de pentesting llamada Metasploit para cargar códigos que aprovechan una vulnerabilidad (exploit) y configurar un programa llamado Meterpreter que permite controlar el equipo de la víctima.

Como se puede ver ambos chatean y la víctima (el equipo de la izquierda) se infecta sin saberlo mientras que el atacante (en la derecha) realiza algunas acciones como tomar una captura de su escritorio o abrirle la calculadora. Por supuesto, esto es sólo una demo pero en la vida real ocurre básicamente lo mismo, luego de tomar el control del equipo un atacante podría hacer cualquier cosa como instalar programas, robar información y hasta controlar la webcam.

En este caso el atacante envió el enlace de una página con códigos que aprovechaban una vulnerabilidad conocida del complemento Java. El hecho de enviarlo por chat es sólo un ejemplo, enlaces de este tipo los puedes recibir por correo, redes sociales o encontrarlos en cualquier sitio web.

Es por ello que siempre se recomienda tener cuidado con los enlaces cuando son recibidos de forma inesperada y/o de origen desconocido.

Pero en este caso imagina que las «dos personas que chateaban» se conocían, por lo tanto hacer clic en el enlace era algo relativamente seguro, en contextos normales no tienes por qué sospechar de tus amigos aunque el sentido común nunca lo debes perder.

Entonces ¿cómo se pueden evitar estos ataques? ¿no hay que hacer clic en los enlaces?

No, eso es algo ridículo. Además puedes encontrarte con códigos maliciosos sin necesidad de hacer clic en enlaces, pues si los atacantes logran manipular un sitio legítimo o seguro, cuando los usuarios lo visiten -como lo hacen habitualmente- podrían terminar infectados sin darse cuenta, de la misma forma que vemos en el video.

Esto ha sucedido hasta en la web del NY Times y de hecho podrías terminar en una página como la del video hasta cuando realizas búsquedas en Google.

Estos ataques automáticos se evitan con buenas prácticas como las siguientes:

  • Mantener actualizado el sistema operativo.
  • Mantener actualizado el navegador web.
  • Mantener actualizados los complementos del navegador como, por ejemplo, Flash y Java (en el caso de Java también es recomendado desactivarlo del navegador).
  • Mantener actualizados todos los programas como, por ejemplo, Adobe Reader y Microsoft Office.
  • Tener cuidado con cualquier aplicación, extensión o plugin que solicite permisos para ejecutarse en el navegador. Si no sabes para qué es, lo mejor es rechazarlo.

Con el equipo actualizado las probabilidades de infectarse como en el video se reducen al mínimo, de hecho la víctima se infectó porque tenía instalada una versión antigua de Java, es decir lo tenía desactualizado. Si su versión fuera la última disponible, el ataque del enlace no hubiese funcionado.

Entonces ¿con mantener todo actualizado es suficiente?

No, también existen las vulnerabilidades conocidas como 0-Day o ataques del día cero. Estos fallos en el software generalmente son desconocidos por los fabricantes y aprovechados por los ciberdelincuentes para infectar.

Es decir que los usuarios aún pueden infectarse de forma oculta aún teniendo el software actualizado a su última versión.

Son las vulnerabilidades más peligrosas, aunque no las más comunes, pues lo cierto es que la mayoría de los usuarios se infectan por ser descuidados y tener el sistema y los programas desactualizados.

Y la pregunta ahora es ¿cómo protegernos contra los 0-Days?

No hay forma de protegerse, sino más bien de reducir los riesgos. Algunos optan por no utilizar los programas que se ven afectados con mayor frecuencia por esta clase de vulnerabilidades (como por ejemplo Java), otros por utilizar extensiones como NoScript para reducir al máximo la ejecución de códigos en el navegador.

¿Y los antivirus? Los antivirus siempre son de ayuda y la mayoría de ellos pueden bloquear muchos de estos ataques automáticos, incluso a los 0-Day. Pero no puedes dejarles todo el trabajo a ellos porque no son 100% efectivos, debes aportar tu parte de sentido común y buenas prácticas como las mencionadas anteriormente.

1 comentario en «¿Me pueden infectar de forma oculta por medio de un enlace?»

  1. Complementando la información, en el blog de Malwarebytes (uno de los mejores anti-malware gratuitos) publicaron algo relacionado a lo que comento en este artículo sobre los exploits y las páginas.

    El artículo comienza diciendo: La mayoría de los equipos se infectan al visitar páginas con exploits que aprovechan una o varias vulnerabilidades del software. Podría ocurrir el hacer clic en un enlace recibido por correo electrónico o simplemente al navegar por la red sin ninguna interacción del usuario.

    Leer completo (en inglés): http://blog.malwarebytes.org/intelligence/2013/01/web-exploits-bright-future/

    Responder

Deja un comentario