A la hora de infectar los ciberdelincuentes básicamente tienen dos opciones, enviarle el malware directamente a las víctimas (mensajes spam por correo, chat, redes sociales, etc) o esperar que las víctimas sean las que vayan hacia el malware.
En el segundo caso una de las técnicas más utilizadas hoy en día es la del BlackHat SEO, los atacantes posicionan páginas maliciosas en los primeros resultados de los buscadores o aprovechan sitios vulnerables para redireccionar el tráfico hacia ellas, puedes ver ejemplos de estos ataques en los siguientes artículos: ¿Dónde queda Uruguay? (BlackHat SEO), Buscar modelos en internet puede ser peligroso y BlackHat SEO + Java vulnerable = descarga oculta de troyano.
En este segundo grupo también se podría incluir el uso malintencionado de marcas conocidas para engañar a los usuarios. El pasado año por ejemplo, uno de los desarrolladores del programa VLC cansado de ver sitios falsos que aprovechaban la buena reputación del reproductor, publicó en su blog personal a modo de denuncia una lista de sitios que ofrecían versiones de pago e instaladores infectados.
Otro ejemplo es el del dominio ares.com que se utiliza para propagar una versión modificada del programa que requiere el pago de una licencia. La página oficial de Ares en realidad es aresgalaxy.sourceforge.net y el programa es completamente gratuito:
I’ve paid for Ares, can I have a refund?
Ares is a 100% free program and we don’t sell it nor we have authorized third parties to do that.
>> aresgalaxy.sourceforge.net/readmore.htm
Experimento Ares.com.uy:
En las últimas semanas estuve realizando un experimento para ver cuántas personas podrían acceder a la descarga de Ares a pesar de ser una versión no oficial. Para ello utilicé el dominio ares.com.uy.
Allí monté una página que ofrece supuestamente una versión de Ares mejorada, pero en realidad nunca se llega a realizar la descarga del programa. Los usuarios simplemente pasan de una página a otra quedando la actividad registrada en Google Analytics.
Todos los usuarios «medidos» accedieron directamente al sitio, es decir escribiendo la dirección en sus navegadores, tráfico que se denomina Type-in.
Al acceder lo que se encontraban era lo siguiente:
Como se puede ver, se describen las características del supuesto programa como la grabación directa en CD/DVD/BluRay, modo oculto para oficinas, acceso a la base de datos de Sony y Warner para descargar películas, etc. La idea era describir funciones ridículas que llamaran la atención de algunos y generaran desconfianza en otros.
En esa página se incluye un botón de Download que al presionarlo carga otra página dentro del sitio:
Acá se aclara que no se trata de una versión oficial de Ares y se simula iniciar la descarga con el siguiente mensaje:
Iniciando descarga del archivo Ares2012Pro.exe… la descarga se iniciará automáticamente en 5 segundos. Si la descarga no se inicia clic aquí para iniciarla de forma manual.
La descarga automática en realidad nunca se inicia, de esta forma puedo medir directamente cuántas personas hacen clic para iniciar la descarga manual, es decir, descargan el programa a pesar de no ser una versión oficial y tener funciones un poco sospechosas :)
Finalmente en la última página se aclara que se trata de un experimento y que las descargas de versiones modificadas no son seguras:
Los resultados:
Midiendo el tráfico con un flujo de conversiones se puede ver que todos los usuarios que accedieron a ares.com.uy hicieron clic en el botón Download, pasando a la segunda página (estos datos corresponden a los últimos 60 días):
En la segunda página hay un abandono del 31,9%. El resto, 68,1% continuó hacia la última página, es decir, inició la descarga manual.
En la última página de advertencia hay un abandono del 77%, mientras que un 23% vuelve a la anterior (¿intentarán descargarlo nuevamente?).
Por supuesto, el experimento carece de rigor científico y para obtener mejores resultados tal vez se debería dejar en funcionamiento por más tiempo. Pero los datos no dejan de ser interesantes, al tratarse de tráfico Type-in los usuarios entran convencidos de que se trata del sitio de Ares y la mayoría realiza la descarga a pesar de no ser la versión oficial.