Conecta con nosotros

Opinión

Control de documento envenenado

El ataque a sistemas para captar información sensible en actividades de espionaje o con fines lucrativos no es ninguna novedad. De hecho, es una de las actividades criminales más habituales en estos tiempos en los que la información digital fluye entre sistemas integrados. La novedad se encuentra en cómo realizan estos ataques. Derek Manky, experto en ciberseguridad e investigación de amenazas de Fortinet, nos lo cuenta.

Publicado el

El ataque a sistemas para captar información sensible en actividades de espionaje o con fines lucrativos no es ninguna novedad. De hecho, es una de las actividades criminales más habituales en estos tiempos en los que la información digital fluye entre sistemas integrados. La novedad se encuentra en cómo realizan estos ataques. Derek Manky, experto en ciberseguridad e investigación de amenazas de Fortinet, nos lo cuenta.

 

 

 

 

Existen una gran variedad de formatos de documento (PDF, DOC, XLS) con múltiples lectores que son utilizados por todo tipo de usuarios: gobierno, empresas, instituciones, etc. A ojos de los cibercriminales, allí donde haya un elevado tráfico y uso de datos, es donde está la oportunidad de atacar. En el caso de las instituciones públicas, la Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, que entró en vigor a principios de este año, ha supuesto un mayor tránsito de documentos entre la administración y los usuarios.

De ahí que para las AA.PP. sea imperativo cerciorarse de que dichos documentos son completamente seguros. Los ataques con documentos envenenados se producen cuando un archivo legal es modificado para introducir secuencias de bytes con contenido malicioso. Cuando el software de lectura abre dicho documento, se pone en marcha el proceso del código malicioso.

Para ejecutar un ataque de forma satisfactoria, éste debe haber sido diseñado específicamente para ese software. Por ejemplo, un ataque para Adobe Reader (PDF) puede no funcionar con FoxIt Reader, y viceversa. Asimismo, un ataque válido para una versión específica de un lector puede no funcionar en siguientes versiones, ya que la vulnerabilidad que aprovecha el ataque puede haber sido subsanada.

Los ataques a través de documentos envenenados llevan operando desde hace tiempo. La diferencia principal estriba en el creciente número de técnicas (vulnerabilidades) que tienen ahora a su disposición los cibercriminales para ejecutar el código malicioso escondido en un documento. Gracias a las barreras desplegadas por los desarrolladores ejecutar con éxito un ataque es más difícil ahora que hace diez años.

 

 

Por ejemplo, tecnologías como la implementación de prevención de ejecución de datos (DEP) de MS Windows 7 y el address space layout randomization (ASLR) han acabado con las técnicas de ataque tradicionales.

Los problemas y las debilidades

Aunque se actualice el software, los criminales no cesan en su búsqueda de nuevas brechas de seguridad que explotar. Y aquí surgen dos problemas. Por un lado, la gestión de actualizaciones no es de la calidad que cabría esperar. Los fallos del software que comprometen la seguridad deben ser solucionados de forma inmediata para cerrar el "agujero" que permite la entrada de un ataque. Sin embargo la realidad es bien distinta y con frecuencia los viejos ataques siguen funcionando porque la vulnerabilidad no ha sido resuelta, como el caso del gusano Conficker.

El segundo problema radica en que, aunque es más difícil implementar un ataque, también es mayor la cantidad de recursos de los que dispone el criminal. Es decir, el esfuerzo que tiene que realizar para alcanzar su objetivo es menor ya que puede valerse de una red de máquinas, herramientas y personas para crear y lanzar su ataque.

Actualmente podemos señalar que hay dos tipos de ataques con documentos envenenados: los indiscriminados y los dirigidos. Los primeros no se dirigen a un objetivo específico, sino que tratan de infectar al mayor número de usuarios posible.

Y lo hacen a través de campañas de spam masivas, con un documento adjunto envenenado. Sin embargo el método más efectivo y cada vez más popular es el ataque dirigido a uno o varios receptores. Estos ataques actúan normalmente a través de un email aparentemente inofensivo en el que se hace mención a algún evento con el que el usuario puede estar familiarizado. Así el receptor está más predispuesto a abrir el documento, iniciándose la ejecución del código malicioso.

 

 

 

Una vez que el documento infectado es abierto, el software de lectura comienza a ejecutar el código malicioso y su carga en el sistema. Actualmente los ataques más famosos de este tipo son los botnets y los troyanos. En este caso, lo primero que se instalará será un agente botnet que informará al atacante de que se ha instalado y descargará el malware – normalmente una herramienta de administración remota (RAT). Una RAT es una herramienta legal que permite a un administrador acceder y utilizar una máquina en remoto.

Lamentablemente, esta tecnología está siendo utilizada con fines ilícitos. La RAT permite que el criminal descargue archivos, capture pantallazos, controle la webcam y el audio, etc. Uno de los casos más conocidos de este tipo de ataques contra la administración pública es el de Gh0stNet.

Es más que probable que sigan proliferando los ataques dirigidos basados en documentos ya que cada día se descubren más vulnerabilidades en los mismos. Además, habrá más casos relacionados con redes sociales ya que son el caldo de cultivo ideal para los ataques dirigidos.

Para protegernos frente a estos ataques, recomendamos una correcta gestión de las actualizaciones e identidades. Considerar software y sistemas operativos alternativos, siempre que sea posible. Ser cauteloso a la hora de abrir documentos, aunque parezcan inofensivos. Y ante todo, disponer siempre de una solución de seguridad en capas – con antivirus, prevención de intrusiones, filtrado Web, anti-spam y control de aplicaciones- para luchar contra los botnets, RATs y documentos infectados.
 

Derek Manky, experto en ciberseguridad e investigación de amenazas en Fortinet.

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Lo más leído