La mayor parte de los tristemente célebres gusanos de Internet aparecidos en la primera mitad de la década aprovechaba en su mayoría una o varias vulnerabilidades de las aplicaciones de Microsoft. Los conocidos Sasser, Blaster, Code Red y SQL Slammer tenían un factor en común. Todos ellos aprovechaban vulnerabilidades de servidores para servirse de su rápida autopropagación para destruirlos.
McAfee Avert Labs ha constatado que, gracias a las medidas de seguridad adoptadas para proteger las llamadas de procedimientos remotos, las vulnerabilidades de los servidores que pueden ser aprovechadas por gusanos han experimentado un descenso en los últimos años.
Sin embargo, los creadores de malware no se iban a dejar vencer. No tardaron mucho en cambiar de objetivo, pasando de servidores a clientes, y destapando vulnerabilidades en Microsoft Office, Microsoft Internet Explorer y varios formatos de archivo de marca registrada.
La mayoría de las vulnerabilidades ha afectado a Office 2000, por ser la versión más utilizada y, desde el punto de vista económico, la más rentable para los creadores de malware. Sin embargo, la tendencia impacta a otros conocidos proveedores de software, como Adobe, Mozilla o Apple, entre muchos otros.
Un nuevo frente: El espionaje
La clave de las vulnerabilidades de los clientes radica en que para poder ser aprovechadas requieren de la intervención del usuario. De ahí que los creadores de malware se hayan visto obligados a ingeniar ideas más innovadoras para atraerlos y conseguir que hagan click en vínculos, y descarguen imágenes y documentos de Internet. Una de las principales ofensivas sobre los sistemas cliente ha sido el rápido crecimiento del spam basado en la ingeniería social.
La ingeniería social y el interés actual en las vulnerabilidades de los clientes van de la mano. Los ataques de este tipo son especialmente populares en instalaciones militares y de defensa. Desde la plaga de vulnerabilidades de Microsoft Office en el 2006, han salido a la luz varios informes sobre algunas agencias gubernamentales que han recibido mensajes de correo electrónico con archivos malignos de Word, PowerPoint o Access. Parece que la combinación de la ingeniería social y las vulnerabilidades ha encontrado otro objetivo: el espionaje.
Está claro que espiar es una práctica más furtiva y difícil de descubrir que los ataques con un mero objetivo económico. En muchas ocasiones, las vulnerabilidades encontradas en estos documentos incrustados maliciosos han sido ataques de tipo ‘zero-day’ (día cero), lo que hace que estos documentos sean aún más difíciles de detectar; con frecuencia, sólo cuando el daño ya está hecho. El que estas vulnerabilidades de tipo zero-day hayan estado dirigidas a instalaciones gubernamentales o militares específicas, hace pensar que estos ataques están financiados por agentes o gobiernos extranjeros.
Ingeniería social especialmente diseñada, vulnerabilidades de tipo zero-day, dinero y poder, son elementos que nos transportan a una novela de John le Carré. Pero algunos analistas de seguridad piensan que esto no es ficción. Las predicciones de muchos teóricos apuntan en la dirección de que las guerras de la próxima generación se librarán en el ciberespacio. ¿Serán estos acontecimientos sencillamente experimentos para preparar una ciberguerra?
Piratas furtivos de la web
Otros ataques en los que se ha observado un cambio de comportamiento son la piratería y el secuestro de servidores web. En el pasado, tras asaltar los sitios, los agresores los marcaban, dejando una nota con la esperanza de hacerse famosos. Esto ya no ocurre. Ante la plétora de vulnerabilidades de clientes, los hackers han comenzado a aprovecharlas de manera coordinada. Para propagar el malware, primero, atacan sitios web muy visitados, dejan el malware de manera inadvertida y atraen a los usuarios a través de trucos de ingeniería social. Se ha tenido conocimiento de ataques similares a muchos sitios muy visitados, incluidos los de embajadas, grupos de noticias y grandes empresas.
Otra nueva amenaza que ha puesto en riesgo a millones de hogares consiste en aprovechar los routers domésticos a través de Universal Plug & Play, lo que permite a un archivo Flash maligno incrustado en una página web reconfigurar el enrutador de la víctima. El hecho de que la inmensa mayoría de los usuarios utilice las contraseñas predeterminadas en los enrutadores de sus hogares explica el éxito de este ataque. En esta situación, para atraer a la víctima se podría utilizar cualquier vínculo aparentemente inofensivo para pagar facturas online o leer más sobre un tema determinado. Lo más probable es que el usuario no tenga ni idea de que el enrutador ha sido atacado, haciendo que todo el tráfico, incluidas las contraseñas más confidenciales, se envíe a un tercero.
En definitiva, las tendencias recientes en vulnerabilidades convierten a la ingeniería social en una fuerza difícil de combatir. No importa cuántos mecanismos de protección implementen los proveedores en su software y en sus sistemas operativos; mientras los usuarios sigan haciendo click en cualquier vínculo que les salga al paso, la ingeniería social los desarticulará todos. Al menos a corto plazo, no parece que podamos esperar la aparición de ‘ciberleyes’ que pongan freno a la ingeniería social (a excepción de aquéllas hechas para los casos de fraude); sin embargo, una mejor educación puede sin duda ayudar a minimizar las pérdidas y el impacto sobre las víctimas desprevenidas. Mientras tanto, piénselo dos veces si le piden que haga click para ‘aceptar’ el premio que acaba de ganar.
Extracto del artículo escrito por Rahul Kashyap, Director de Investigación sobre Vulnerabilidades y Seguridad de Sistemas de Prevención de Intrusiones (IPS) para McAfee Avert Labs, publicado en el último número de la revista McAfee Security Journal.