“Eso es mentira” sería la
respuesta inmediata que daríamos a esa pregunta, y no dudando
respecto a que se haya infectado el dispositivo sino a la segunda
parte. Somos así de retorcidos: “cree el ladrón…”
Pero desafortunadamente sí es
posible que nos pase por el mero hecho de acceder a una página web.
El último ejemplo lo tenemos con #BadRabbit, un ransomware que está
haciendo sus estragos allá por Rusia y Ucrania principalmente; pero
que no tardará mucho en llegarnos, bien sea tal cual o con
adaptaciones “locales”.
Con el elevado uso de las
Redes Sociales y las aplicaciones Web hay cada vez un mayor número
de usuarios de perfil “despreocupado”, por ser suaves, lo que
eleva el potencial número de clientes y dispara las probabilidades
de éxito de la infección.
Y sí, es cierto que no basta
sólo con que los usuarios sean unos despreocupados, no; los malos
también hacen su parte, cada vez mejor: dan un excelente servicio de
atención al cliente.
El cliente
“necesita” ver con urgencia ese video que le ha llegado vía
enlace que le manda un conocido por correo electrónico… ¡y el
reproductor no está actualizado! Menos mal que “los informáticos”
se lo curran y piensan en todo, y me ofrecen descargar la
actualización (en este caso la de FlashPlayer). Por supuesto la
descargo, instalo y… ¡veo el vídeo! Que al final no era para
darse tanta prisa, pero eso no lo sabía antes de verlo.
Claro, que tampoco sabía que
no sólo iba a descargar una ¿actualización? sino algo más que ha
llegado para quedarse. Y para traer amigos.
Esos amigos, amigotes más
bien, tienen nombre: exploit kit. Se instala y hace un escaneo
completo del sistema para recabar una serie de datos: sistema
operativo, aplicaciones, estado de las actualizaciones… Un chequeo
exhaustivo y en profundidad cuyos resultados van a parar a manos de
los malotes, quienes se encargarán de analizarlos en busca de
agujeros de seguridad que les van a brindar una puerta abierta y ruta
directa a la administración de nuestro dispositivo, con lo que ello conlleva.
Una vez abierta la puerta por
el exploit, éste “hace un pedido”: Oye, C&C, mándanos el
payload "X" que es el que peta la aplicación "Y" que en este equipo está
sin parchear y lo hace vulnerable.
El C&C, en función de la
misión que tengan previsto encomendarle a la máquina infectada,
obediente (recordad que es un servicio de atención al cliente de
primera) manda bien un programita de control remoto que se instalará
y no nos enteraremos (para convertir el ordenador en otro más de una
red de zombies que activar cuando quieran), bien ese otro que se va a
encargar de cifrar todos los archivos de datos (texto, imágenes…)
que encuentre para pedir el rescate correspondiente. Por supuesto, en
BitCoins.
Vaaale. Esto nos ha pasado por
abrir un correo electrónico de un conocido que venía con un link
(malicioso el), pero hemos comenzado hablando de “visitar páginas
web”, y un correo electrónico no lo es… ¿o sí? Otro día lo
discutimos.
El proceso de infectarnos por el mero
hecho de visitar una página web “legítima” difiere un poco respecto al de hacerlo por medio de un correo electrónico, si bien comparten resultado final.
Al lío. Y para ello
comenzamos con un poco de teoría básica, muy elemental.
¿sabemos qué es un navegador
de Internet? Sí, el “explorer” ese del ordenador, o el “Chrome”
del smartphone o el mozilla ese que dicen que es el mejor… Bueno,
no vamos mal, pero ¿sabemos qué hace? Aparte de tenernos
enganchados cienes de horas lo que hacen es “interpretar” el
contenido de un fichero que contiene datos, instrucciones y alguna
otra cosita más tal que todo ello junto resulta ser una página web:
leen ese “lo-que-sea.html”, lo interpretan y luego nos muestran
parte de su contenido en la pantalla del dispositivo. Sí, parte,
porque hay otras partes que el navegado lee, interpreta y NO muestra
ni nos dice si ha hecho algo o no, porque esas partes contienen unas
instrucciones, unas órdenes, que ejecuta y cuyo resultado no tiene
por qué aparecer en la pantalla.
Ese código que viene escrito
dentro del de la página web puede ser del tipo PHP, que se ejecutará
en el servidor desde el que se ha descargado la página web y hará
lo que nuestro navegador le haya “pedido”; o puede ser del tipo
JavaScript, que es nuestro navegador, nuestro equipo quien lo
interpreta y ejecuta lo solicitado. En cualquier caso, nuestro
ordenador, tablet, móvil… será debidamente escaneado y los datos
considerados importantes serán exportados (exfiltrados que dirían
los técnicos) y guardados para un posible uso posterior. A partir de
aquí, nuestro dispositivo, nuestros datos les pertenecen, y harán
con ello cuanto les apetezca.
Te has pasado dos pueblos,
Pedro: ¿cómo es posible que el administrador de una página web no
controle el código que sube? Bueno, ya sabéis que hay muchos que
somos “apañaos”, o que tenemos “amigos informáticos” o,
incluso, contratamos informáticos que se anuncian en farolas y semáforos y te
hacen una página web por casi nada al tiempo que te proveen de Internet gratis... De estos últimos hay que huir. Si
necesitas una página web para tener presencia en Internet búscate
un buen profesional (@JFS_1969, por ejemplo), y pagas lo que vale
hacerla y mantenerla… ¡sin publicidad!
Porque esa publicidad que
alquilamos para tener “colgada gratis” la página es otra forma
de infectar ordenadores por el mero hecho de que la página sea mostrada
(interpretada, ejecutada) por el navegador en pantalla.
¿Cómo? A grosso modo, esos
anuncios que se mueven, esas imágenes que cambian… no son
“simplemente” fotos -salvo las del diario para magos que leen
Harry Potter y compañía- sino que llevan “incorporadas” unas
instrucciones que hacen que salgan en carrousel, que se oscurezcan,
que ejecuten código en nuestro ordenador -una vez más- sin que nos
enteremos… El formato de imágenes SVG da mucho juego ¿verdad
@RaulRenales?
Con el tema de la publicidad
en las páginas web hay un riesgo, y es que los “huecos” tal vez
los gestione el webmaster, pero la publicidad está “subcontratada”,
delegada. ¡Menudo coñazo echarse a la calle para buscar quien
page! De eso que se encargue otro. Esto no significa que subcontratar el servicio o que todos los
anuncios subcontratados sean malos, por supuesto que no;
pero que los malotes tienen paciencia y comienzan colocando anuncios
legítimos y haciéndose un nombre para después “torcer” sus
intenciones cuando por fin consiguen acceso a huecos de publicidad en
páginas “interesantes” bien por volumen de visitas bien por su
público objetivo, es un hecho. Y, claro está, el código dañino no
lo dejan ahí por los siglos de los siglos sino por periodos cortos de
tiempo para que no de tiempo a identificar la fuente. Ya nos
encargaremos nosotros -nuestro ordenador zombie- de hacer el trabajo
de diseminar la infección ¡que se nos da de maravilla!
Y esto ¿tiene solución?¿hay
alguna forma de mitigarlo?
Solución, mientras haya
malotes, no hay. Pero sí está en nuestra mano mitigar sus efectos.
Y pasa por hacer lo que tantas y tantas veces hemos oído de tantas
fuentes: tener el software actualizado, soluciones de seguridad -que
hay a porrillo- y la fundamental: pensar antes de hacer clic, antes
de facilitar datos personales “sin importancia” alegremente en
cualquier sitio. Con estas tres simples reglas tendremos muchas
probabilidades de no ser parte de la estadística.
Así que la próxima vez que
te digan “se me ha infectado el ordenador pero no es por ver porno”
puedes creer a tu contertulio, porque nosotros tampoco vemos porno y
nos hemos infectado ¿verdad?
No hay comentarios:
Publicar un comentario