Archivos adjuntos, transporte del malware

Seguramente, uno de los métodos más eficaces para diseminar malware e infectar los ordenadores de muchos usuarios es el envío de emails con adjuntos maliciosos.

Archivos maliciosos

Después de muchos años, los cibercriminales todavía utilizan este tipo de documentos para llevar a cabo diferentes ataques, desde añadir un dispositivo a su propio botnet, hasta acceder a la red corporativa a través de mensajes de phishing, pasando por hackear las cuentas bancarias online con un troyano. Los internautas (y los usuarios en general) ahora son más conscientes que nunca de los riesgos que pueden correr abriendo un adjunto sospechoso; a veces incluso el documento aparentemente más inofensivo puede esconder un peligro, sin importar su formato (doc, pdf, jpg, etc.) porque todos ellos pueden ocultar un virus. Además la industria antimalware, los proveedores de correo electrónico y los desarrolladores de navegadores Web, desarrollan y utilizan tecnologías cada vez más innovadoras para limitar estas infecciones vía email. Además,  hay que tener en cuenta otro factor positivo: los fabricantes de software se preocupan mucho más que en el pasado de ofrecer a los usuarios nuevos parches que resuelvan las vulnerabilidades.

A pesar de todo esto, son muchísimos los dispositivos infectados cada día porque el usuario ha abierto un documento que pone en peligro la seguridad de su equipo. ¿Cómo es posible que ocurra esto si las personas más inteligentes de la industria tecnológica trabajan en este problema? ¿Por qué no se llega a derrotar a estos hacker, que tampoco están muy organizados?

A grandes rasgos, la razón es bastante sencilla: los cibercriminales, que normalmente trabajan solos o en pequeños grupos con herramientas personalizadas, se mueven muy rápidamente. Los desarrolladores de navegadores web, los proveedores de correo electrónico o todos los gigantes de la tecnología reaccionan ante las nuevas amenazas lo mejor y lo más rápido que pueden; desafortunadamente, como se trata de organizaciones muy grandes, están vinculadas a la burocracia corporativa o tienen que enfrentarse a muchas otras dificultades y por esto actúan de forma más lenta.

De todas formas, no podemos culpabilizar solamente a las empresas. La mayoría de los usuarios no instala las actualizaciones necesarias y, además, abre adjuntos que son potencialmente peligrosos.

Hay que decir también que los cibercriminales no son estúpidos. De hecho, observan la manera en que las compañías reaccionan a sus ataques y luego perfeccionan sus métodos. Asimismo, recopilan información sobre sus objetivos: por ejemplo, controlan las redes sociales u otras actividades online públicas para luego enviar emails y adjuntos maliciosos que puedan interesar al usuario y conseguir que éste abra el documento.

Antes creía, de una manera muy arrogante, que un hacker tenía que esforzarse  para engañarme con un mensaje de phishing. Kurt Baumgartner, uno de los expertos más importantes de Kaspersky Lab, me dijo claramente que cualquiera de nosotros (da igual lo inteligente que seamos) podemos abrir un adjunto que llega aparentemente de una persona que conocemos y en la que confiamos. Por eso, es necesario construir unas defensas automatizadas y automáticas que se basan en comportamientos que se pueden medir con las tecnologías y no confiando exclusivamente en la intuición humana.

Por ejemplo, hace poco Microsoft publicó un parche, durante el martes del mes dedicado a este propósito, que resuelve una vulnerabilidad de Internet Explorer, pero no ha conseguido solucionar una segunda vulnerabilidad de día-cero descubierta recientemente en Microsoft Office. Los cibercriminales que conocen este bug podrían explotarlo para enviar documentos maliciosos a los usuarios afectados por el problema (o sea, a casi todos los que tienen Microsoft Office instalado en su ordenador). No obstante, si el hacker está utilizando un tipo de malware que el producto antivirus del usuario puede detectar, la protección está todavía garantizada.

De todas formas, los cibercriminales han encontrado maneras bastantes sencillas para modificar el código o el dominio de los malware para eludir el control de los software antivirus.

Pero no quiero expresar admiración hacia los cibercriminales en este artículo. Al final los “chicos buenos” (expertos IT y desarrolladores), normalmente consiguen bloquear los ataques, aunque se muevan con menor rapidez. Su trabajo es controlar el comportamiento de los “chicos malos” (los cibercriminales) y luego actuar en consecuencia.

Esto es el caso de los desarrolladores de Kaspersky Lab. Nuestros investigadores han estudiado los diferentes métodos de ataque y su evolución a lo largo de los años. Al principio, los productos anti-malware se limitaban a buscar las firmas de los malware, pero con el tiempo se ha visto que esto no era suficiente. Así que se han desarrollado tecnologías como la prevención automática de exploits (AEP), que utiliza sistemas de escaneo de las vulnerabilidades y todos los comportamientos del malware conocido. Cuando AEP nota que una aplicación está ejecutando un código raro o parece que esté explotando la vulnerabilidad de un software, la tecnología AEP se activa para bloquear estos tipos de acciones antes de que puedan causar daño alguno. De este modo, los usuarios estarán protegidos prácticamente frente a cualquier tipo de amenaza, incluso también de los ataques de día-cero.

  • Share
  • Pin It

Un pensamiento en “Archivos adjuntos, transporte del malware

  1. @Marquitos70 no digo que no tengan su parte de culpa pero el usuario también es responsable. ya no estamos en los 90 cuando apenas nadie sabie lo que era el spam o un misero email.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>