Exploits: no son las ciberamenazas de tu mamá. En un momento del pasado no muy lejano, los exploits eran responsables de entregar el 80 por ciento del malware a los sistemas de las personas. Pero las hazañas parecen estar experimentando una calma hoy en día. ¿Significa esto que se han ido para siempre y que todos podemos bajar la guardia? O es simplemente la calma antes de la tormenta? Vamos a romper esta amenaza sigilosa para que no solo puedas conocer a tu enemigo, sino que también estés preparado adecuadamente en caso de que vuelvan los ataques de exploits.
¿Qué es un exploit?
Un exploit es un programa o pieza de código que encuentra y aprovecha un defecto de seguridad en una aplicación o sistema para que los ciberdelincuentes puedan usarlo en su beneficio, es decir, explotarlo.
Los ciberdelincuentes suelen entregar exploits a los equipos como parte de un kit, o una colección de exploits, alojados en sitios web u ocultos en páginas de destino invisibles. Cuando aterrizas en uno de estos sitios, el kit de exploits toma automáticamente las huellas de tu computadora para ver en qué sistema operativo estás, qué programas y tienes en ejecución, y lo más importante, si alguno de estos tiene fallas de seguridad, llamadas vulnerabilidades. Básicamente se trata de buscar debilidades en su computadora para explotar, al igual que los troyanos lo hicieron con el talón de Aquiles.
Después de descubrir vulnerabilidades, el exploit kit utiliza su código prediseñado para forzar la apertura de las brechas y entregar malware, evitando muchos programas de seguridad.
¿Los exploits son una forma de malware? Técnicamente, no. Los exploits no son malware en sí mismos, sino métodos para distribuir el malware. Un kit de exploits no infecta tu ordenador. Pero abre la puerta para que entre el malware.
¿Cómo atacan los exploits?
La mayoría de las personas se encuentran con kits de exploits de sitios web con trampas explosivas de alto tráfico. Los ciberdelincuentes suelen elegir sitios populares y de buena reputación para obtener el mayor retorno de su inversión. Esto significa que los sitios de noticias que lee, el sitio web que utiliza para navegar por bienes raíces o la tienda en línea donde compra sus libros son posibles candidatos. Sitios como yahoo.com, nytimes.com, y msn.com han sido comprometidos en el pasado.
Por lo que está navegando por la web, visitando un sitio web que le encanta y el sitio comprometido lo redirige en segundo plano, sin abrir ninguna ventana nueva del navegador ni alertarlo de ninguna otra manera para que pueda ser escaneado en busca de idoneidad para la infección. En base a esto, usted es seleccionado para ser explotado o descartado.
¿Cómo se ve comprometida su sitio web favorito? De una de dos maneras: 1. Un fragmento de código malicioso está oculto a la vista en el sitio web (a través de la piratería a la antigua usanza) 2. Un anuncio que se muestra en el sitio web ha sido infectado. Estos anuncios maliciosos, conocidos como publicidad maliciosa, son especialmente peligrosos, ya que los usuarios ni siquiera necesitan hacer clic en el anuncio para exponerse a la amenaza. Ambos métodos, sitios pirateados o publicidad malintencionada, lo redirigen inmediatamente (apunte a su navegador web) a una página de destino invisible que aloja el kit de exploits. Una vez allí, si tienes vulnerabilidades en tu computadora, se acabó el juego.
El kit de exploits identifica vulnerabilidades e inicia los exploits apropiados para eliminar cargas útiles maliciosas. Estas cargas útiles (el malware) pueden ejecutar e infectar su computadora con todo tipo de mal juju. El ransomware es una carga útil favorita de los kits de exploits en estos días.
¿Qué software es vulnerable?
En teoría, dado el tiempo suficiente, cada pieza de software es potencialmente vulnerable. Los equipos criminales especializados pasan mucho tiempo separando programas para poder encontrar vulnerabilidades. Sin embargo, por lo general se centran en las aplicaciones con la mayor base de usuarios, ya que presentan los objetivos más ricos. Al igual que con todas las formas de ciberdelincuencia, es un juego de números. Los principales destinos de aplicaciones incluyen Internet Explorer, Flash, Java, Adobe Reader y Microsoft Office.
Cómo la gente de seguridad lucha contra la ti
Las empresas de software entienden que los programas que desarrollan pueden contener vulnerabilidades. A medida que se realizan actualizaciones incrementales en los programas para mejorar la funcionalidad, el aspecto y la experiencia, también se realizan correcciones de seguridad para cerrar vulnerabilidades. Estas correcciones se llaman parches, y a menudo se lanzan en un horario regular. Por ejemplo, Microsoft lanza un clúster de parches para sus programas el segundo martes de cada mes, conocido como Martes de parches.
Las empresas también pueden lanzar parches para sus programas ad-hoc cuando se descubre una vulnerabilidad crítica. Estos parches esencialmente cosen el agujero para que los kits de exploits no puedan encontrar el camino y dejar sus paquetes maliciosos.
El problema con los parches es que a menudo no se liberan inmediatamente después de que se descubre una vulnerabilidad, por lo que los delincuentes tienen tiempo para actuar y explotar. El otro problema es que confían en que los usuarios descarguen esas actualizaciones «molestas» tan pronto como salen. La mayoría de los kits de exploits se dirigen a vulnerabilidades que ya han sido parcheadas durante mucho tiempo porque saben que la mayoría de las personas no se actualizan regularmente.
Para vulnerabilidades de software que aún no han sido parcheadas por la empresa que las fabrica, existen tecnologías y programas desarrollados por empresas de ciberseguridad que protegen programas y sistemas conocidos como favoritos para su explotación. Estas tecnologías actúan esencialmente como barreras contra programas vulnerables y detienen los exploits en múltiples etapas de ataque, de esa manera, nunca tienen la oportunidad de dejar su carga maliciosa.
Los tipos de exploits
Los exploits se pueden agrupar en dos categorías: conocidos y desconocidos, también llamados exploits de día cero.
Los exploits conocidos son exploits que los investigadores de seguridad ya han descubierto y documentado. Estos exploits aprovechan las vulnerabilidades conocidas en programas y sistemas de software (que quizás los usuarios no han actualizado en mucho tiempo). Los profesionales de la seguridad y los desarrolladores de software ya han creado parches para estas vulnerabilidades, pero puede ser difícil mantenerse al día con todos los parches necesarios para cada pieza de software, por lo que estos exploits conocidos siguen siendo tan exitosos.
Los exploits desconocidos, o días cero, se utilizan en vulnerabilidades que aún no se han informado al público en general. Esto significa que los ciberdelincuentes han detectado el defecto antes de que los desarrolladores lo notaran, o han creado un exploit antes de que los desarrolladores tengan la oportunidad de corregir el defecto. En algunos casos, es posible que los desarrolladores ni siquiera encuentren la vulnerabilidad en su programa que condujo a un exploit durante meses, si no años. Los días cero son particularmente peligrosos porque incluso si los usuarios tienen su software completamente actualizado, aún pueden ser explotados y su seguridad puede ser violada.
Los mayores delincuentes de exploits
Los tres kits de exploits más activos en la naturaleza en este momento se llaman RIG, Neutrino y Magnitude. RIG sigue siendo el kit más popular, y se está utilizando tanto en campañas de publicidad maliciosa como en campañas de compromiso de sitios web para infectar las máquinas de las personas con ransomware. Neutrino es un kit de fabricación rusa que se ha utilizado en campañas de publicidad maliciosa contra los principales editores, y se aprovecha de vulnerabilidades de Flash e Internet Explorer (también para entregar ransomware). Magnitude también está usando publicidad malintencionada para lanzar sus ataques, aunque está estrictamente enfocado en países de Asia.
Dos campañas de exploits menos conocidas, Pseudo-Darkleech y EITest, son actualmente los vehículos de redirección más populares que utilizan sitios web comprometidos. Estos delincuentes inyectan código en sitios como WordPress, Joomla o Drupal, y redirigen automáticamente a los visitantes a una página de destino de exploit kit.
Al igual que con todas las formas de ciberamenazas, los exploits, sus métodos de entrega y el malware que eliminan están en constante evolución. Es una buena idea mantenerse al tanto de los formularios más comunes para asegurarse de que los programas a los que se dirigen estén parcheados en su computadora.
Entorno actual del kit de exploits
En este momento, la escena de exploits es bastante sombría, lo que es bueno para aquellos en la industria de la seguridad y, esencialmente, para cualquiera que use una computadora. Esto se debe a que en junio de 2016, Angler, un sofisticado kit de exploits que fue responsable de casi el 60 por ciento de todos los ataques de exploits del año anterior, se cerró. No ha habido ningún otro kit de exploits que haya acumulado el mismo nivel de cuota de mercado desde entonces.
Los actores de amenazas han sido un poco tímidos a la hora de correr para explotar los kits, por miedo a que otro pescador los derribe. Una vez que Angler fue desmantelado, los ciberdelincuentes volvieron a centrarse en algunas formas más tradicionales de ataque, como el phishing y los correos electrónicos con archivos adjuntos maliciosos (malspam). Pero tenga la seguridad de que volverán una vez que un kit de exploits nuevo y más confiable resulte efectivo en el mercado negro.
Cómo protegerse contra exploits
El instinto puede ser tomar poca o ninguna acción para protegerse contra exploits, ya que no hay mucha actividad ciberdelincuente relacionada con exploits en este momento. Pero eso sería como elegir no cerrar sus puertas ya que no ha habido un robo en su vecindario en un año. Un par de prácticas de seguridad simples pueden ayudarlo a mantenerse a la vanguardia del juego.
En primer lugar, asegúrese de mantener sus programas de software, complementos y sistemas operativos actualizados en todo momento. Esto se hace simplemente siguiendo las instrucciones cuando los programas les recuerdan que las actualizaciones están listas. También puede comprobar la configuración de vez en cuando para ver si hay notificaciones de parches que pueden haber desaparecido de su radar.
En segundo lugar, invierta en ciberseguridad que proteja contra exploits conocidos y desconocidos. Varias empresas de ciberseguridad de próxima generación, incluida Malwarebytes, han comenzado a integrar la tecnología antiexplotación en sus productos.
Para que puedas relajarte y rezar para que hayamos visto la última de las hazañas. O bien, puede mantener sus escudos activados actualizando constantemente sus programas y sistemas operativos y utilizando programas de seguridad anti-exploit de primera categoría. El dinero inteligente dice que los exploits volverán. Y cuando regresen, no tendrás un talón débil para exponerlos.