Si se consulta qué tienen en común empresas como Microsoft, Twitter, Facebook y Apple, seguramente la respuesta más habitual sería que son grandes empresas con millones de usuarios. Si bien eso es cierto, el último mes la característica más parecida que han compartido es que las cuatro (junto a otras muchas) han sido víctimas de intrusiones [1].
El ataque que han sufrido ha sido bautizado como Watering Hole Attack y consiste en “utilizar” a los empleados para que descarguen malware a la red de la organización objetivo a través de la simple visita a una página web controlada por el delincuente que, en el caso de las empresas mencionadas, fue un popular sitio de descarga de aplicaciones para móviles, utilizado por los desarrolladores de las organizaciones afectadas.
El nombre hace referencia a la manera en que un león embosca víctimas en un pozo de agua y, cuanto más grande sea el pozo -más popular sea el sitio web controlado-, más víctimas llegarán a él. Estas intrusiones están orientadas a robar información sensible de la organización y de sus usuarios, como sucedió con los datos de 250 mil usuarios de Twitter que fueron comprometidos [2].
El proceso es el siguiente:
• Un delincuente modifica un sitio web y agrega scripts dañinos en él.
• Sin saberlo, la víctima visita el sitio web comprometido.
• Este sitio web, a través del elemento dañino inyectado por el delincuente, redirige a la víctima a un sitio de descarga de malware. Mientras tanto, el sitio comprometido se utiliza como “trampolín” para llevar a cabo ataques de espionaje, quedando a la espera de usuarios que lo visiten, los cuales se infectarán.
• Este malware comprueba las aplicaciones instaladas en el sistema afectado (Internet Explorer, Firefox, Java, Adobe Reader, Flash Player, etc.) y luego explota vulnerabilidades en dichas aplicaciones, las cuales le permiten descargar malware específico para cada sistema operativo e infectar al usuario.
El ataque es altamente efectivo ya que con la infección de un solo sitio, se puede lograr que miles de víctimas descarguen la amenaza y, de un simple golpe, controlar la información de todas las organizaciones víctimas. El éxito se incrementa porque los delincuentes -altamente especializados- utilizan vulnerabilidades 0-Day, no conocidas aun públicamente, que no han sido solucionadas por el fabricante y son por lo tanto 100% efectivas.
Es importante destacar que en este tipo de ataque no importa el sistema operativo utilizado por la organización, ya que en la primera etapa se determina el mismo y luego se descargará un archivo ejecutable dañino acorde al sistema determinado.
Si bien el procedimiento técnico es muy parecido al conocido Drive-by-download [3], utilizado por las Amenazas Persistentes y Avanzadas (APT por sus siglas en inglés [4]), la diferencia fundamental radica en el objetivo de este tipo de ataques: realizar espionaje internacional de grandes organizaciones del ámbito de defensa, político, religioso, energía, comunicaciones, armamento, transporte, tecnología, financieras, salud, etc. La información recogida -que puede ascender a miles de Terabytes- posteriormente será analizada para determinar el destino de la misma: para ser vendida en el mercado negro, como base para otros ataques, para determinar objetivos críticos de un país en una posible ciberguerra, y con cualquier otro propósito imaginable.
Si bien actualmente, ninguna empresa puede asegurar que no fue, está siendo o será víctima de este tipo de ataques, existen algunas medidas que deben ser analizadas para prevenirlos y mitigarlos. La primera medida es mantener actualizados los sistemas operativos y las aplicaciones de la organización [5]. Como ya se señaló, generalmente se utilizan vulnerabilidades desconocidas por lo que además deben utilizarse las clásicas aplicaciones de protección técnicas: la segmentación de redes, antivirus, firewall, herramientas de análisis de tráfico de red, filtros de navegación y control de fugas de información (DLP).
Pero, sobre todo se debe incorporar la gestión de la seguridad como un proceso, analizar las posibles amenazas y los riesgos. Se debe ser consciente de que la organización toda no puede ser protegida con una única medida o herramienta de seguridad y debe implementarse la seguridad por capas o niveles: cada nivel por sí mismo podría ser violado, pero su actuación en conjunto fortalecen el sistema completo.
