Lo que hay que saber sobre los exploits informáticos
Exploits informáticos. ¿Qué son y por qué deberían importarte?
¿Se ha dado cuenta alguna vez de que los desarrolladores de software no paran de parchear y actualizar su software, a veces lanzando actualizaciones apenas unos días después del lanzamiento inicial del software?
Esto se debe a que cada pieza de software que posea y poseerá en su vida tendrá vulnerabilidades que los ciberdelincuentes pueden encontrar y aprovechar; en otras palabras, "explotar". No existe el software libre de exploits: siempre habrá agujeros. El software informático es tan sólido como un bloque de queso suizo.
Mediante los exploits, los ciberdelincuentes pueden acceder a su ordenador y robar información confidencial o instalar malware. A pesar de la ralentización de la actividad de los exploits, los ciberdelincuentes siguen recurriendo a este sigiloso método de ataque. Teniendo esto en cuenta, ahora es el momento perfecto para informarnos sobre el tema de los exploits y protegernos en consecuencia. Así que desplázate hacia abajo, sigue leyendo y aprende todo lo que necesitas saber sobre los exploits informáticos.
¿Qué es un exploit? Definición de hazaña
Un exploit informático es un tipo de malware que se aprovecha de fallos o vulnerabilidades que los ciberdelincuentes utilizan para obtener acceso ilícito a un sistema. Estas vulnerabilidades están ocultas en el código del sistema operativo y sus aplicaciones a la espera de ser descubiertas y utilizadas por los ciberdelincuentes. Entre los programas que se suelen explotar se encuentran el propio sistema operativo, los navegadores, Microsoft Office y aplicaciones de terceros. A veces, los grupos de ciberdelincuentes agrupan los exploits en lo que se denomina un kit de exploits. Los kits de exploits facilitan a los delincuentes con escasos conocimientos técnicos el uso de los exploits y la propagación del malware.
Para entender mejor qué son los exploits, puede ser útil recordar los caros candados de cilindro para bicicletas y ordenadores portátiles que se pusieron de moda a principios de la década de 2000. La gente pagaba más de 50 dólares por estos candados, pensando que protegían sus objetos de valor, hasta que alguien publicó un vídeo en Internet en el que se demostraba cómo se podían forzar en cuestión de segundos con un bolígrafo Bic barato y fácil de conseguir.
Esto obligó a los fabricantes de cerraduras a actualizar sus cerraduras y los consumidores tuvieron que actualizarse a las nuevas cerraduras a prueba de ganzúas. Se trata de una explotación tangible de un sistema de seguridad físico. En cuanto al software, los ciberdelincuentes buscan trucos ingeniosos, como el del bolígrafo Bic, que les permitan acceder a los ordenadores, dispositivos móviles y redes de otras personas.
Los ataques de exploits suelen comenzar con malspam y drive-by downloads. Los ciberdelincuentes engañan a víctimas desprevenidas para que abran un archivo adjunto de correo electrónico infectado o hagan clic en enlaces que redirigen a un sitio web malicioso. Los archivos adjuntos infectados, a menudo documentos de Word o PDF, contienen código de explotación diseñado para aprovechar los puntos débiles de las aplicaciones.
Las descargas no autorizadas se aprovechan de las vulnerabilidades de su navegador, como Internet Explorer o Firefox, por ejemplo, o de los complementos que se ejecutan en su navegador, como Flash. Es posible que visite un sitio web que ha visitado con seguridad en el pasado, pero esta vez el sitio web ha sido pirateado y usted ni siquiera lo sabrá. Otra posibilidad es que haga clic en un enlace malicioso de un correo electrónico de spam que le lleve a una versión falsificada de un sitio web conocido.
Y en casos especialmente delicados, puede visitar un sitio web legítimo que muestre un anuncio o una ventana emergente infectada con malware, también conocido como malvertising. Al visitar el sitio, el código malicioso de la página web trabajará de forma invisible en segundo plano para cargar malware en su ordenador.
Los ciberdelincuentes utilizan los exploits como medio para conseguir algún fin malicioso, que puede ir desde un problema molesto hasta una molestia paralizante. Los ciberdelincuentes pueden intentar poner los recursos de su ordenador a trabajar en una red zombi de bots con el fin de realizar un ataque DDoS o para minar Bitcoin(cryptojacking).
Alternativamente, los ciberdelincuentes pueden intentar instalar adware e inundar su escritorio con anuncios. Los ciberdelincuentes pueden querer entrar en tu sistema y robar datos directamente o instalar malware para recopilar datos tuyos en secreto a lo largo del tiempo(spyware). Por último, los ciberdelincuentes pueden instalar malware que cifre todos sus archivos y exija un pago a cambio de la clave de cifrado(ransomware).
¿Qué es un exploit de día cero?
¡Día cero! El único día al año en que nos detenemos a reconocer el humilde y pequeño cero. Ojalá fuera cierto. En realidad, un exploit de día cero, también conocido como exploit de hora cero, es una vulnerabilidad de software que nadie más que el ciberdelincuente que la creó conoce y para la que no existe una solución disponible. Una vez que un exploit pasa a ser de dominio público, deja de ser de día cero. A veces, un exploit conocido se denomina exploit de n días, lo que indica que han pasado uno o más días desde que se hizo público.
Una vez que un exploit de día cero se convierte en información pública, los fabricantes de software se encuentran en una carrera contra los delincuentes para parchear el exploit antes de que éstos puedan aprovecharse y cosechar los beneficios. Afortunadamente, los investigadores tienen escrúpulos. Si los investigadores descubren una vulnerabilidad antes que los delincuentes, normalmente informarán del fallo al fabricante y le darán la oportunidad de corregirlo antes de darlo a conocer al público (y a los delincuentes) en general.
La búsqueda proactiva de exploits se ha convertido en un deporte para algunos hackers. En la competición anual Pwn2own, los expertos en exploits ganan dinero en efectivo y premios por hackear con éxito software popular en múltiples categorías, incluidos navegadores web y aplicaciones empresariales. Como muestra de su interés en la seguridad del software, Microsoft y VMware patrocinaron el evento Pwn2own en 2018.
En cuanto a que los fabricantes de software sean proactivos a la hora de encontrar y corregir los exploits, David Sánchez, Ingeniero de Investigación Principal de Malwarebytes , afirmó: "Es cierto que Microsoft y otros fabricantes de software están trabajando muy duro para asegurar sus aplicaciones, como Office, y explotarlas se ha convertido en algo difícil, casi imposible. Security Los tipos y los ciberdelincuentes siguen encontrando la forma de explotarlas con éxito. El 100% de seguridad es sólo una ilusión, pero las aplicaciones de Malwarebytes protegen a la gente lo más cerca posible de ese 100%".
Historia de los exploits informáticos
Los exploits son tan antiguos como la informática. Como ya hemos señalado, todo el software tiene vulnerabilidades, y a lo largo de los años se han producido auténticas barbaridades. He aquí un rápido resumen de algunos de los exploits informáticos más notables.
Nuestra exploración de los mayores (es decir, los peores) exploits del mundo comienza en 1988 con el gusano Morris, uno de los primeros gusanos y exploits informáticos. Llamado así en honor a su creador, Robert Tappan Morris, el gusano homónimo fue diseñado para averiguar el tamaño de Internet en aquellos primeros años de formación, utilizando diversas vulnerabilidades para acceder a cuentas y determinar el número de ordenadores conectados a una red.
El gusano se descontroló, infectando ordenadores varias veces, ejecutando varias copias del gusano simultáneamente hasta que no quedaron recursos para los usuarios legítimos. El gusano Morris se había convertido en un ataque DDOS.
El gusano SQL Slammer arrasó el mundo en 2003, incorporando a su red de bots unos 250.000 servidores que ejecutaban el software SQL Server de Microsoft. Una vez infectado un servidor, utilizaba un estilo de ataque disperso, generando direcciones IP aleatorias y enviando código infectado a esas direcciones. Si el servidor objetivo tenía instalado SQL Server, también se infectaba y se añadía a la red de bots. Como resultado de SQL Slammer, 13.000 cajeros automáticos del Bank of America quedaron fuera de servicio.
El gusano Conficker de 2008 es notable por un par de razones. En primer lugar, aglutinó muchos ordenadores en su red de bots: según los informes, 11 millones de dispositivos en su momento álgido. En segundo lugar, Conficker popularizó un tipo de subterfugio que utilizan los virus para evitar ser detectados, denominado Algoritmo Generador de Dominios(DGA). En resumen, la técnica DGA permite a un malware comunicarse sin cesar con su servidor de mando y control (C&C ) generando nuevos dominios y direcciones IP.
Diseñado para atacar el programa nuclear iraní, el gusano Stuxnet de 2010 aprovechó múltiples vulnerabilidades de día cero en Windows para acceder a un sistema. A partir de ahí, el gusano fue capaz de autorreplicarse y propagarse de un sistema a otro.
Descubierto en 2014, el exploit Heartbleed se utilizó para atacar el sistema de cifrado que permite a ordenadores y servidores comunicarse de forma privada. En otras palabras, los ciberdelincuentes podían utilizar el exploit para espiar tu conversación digital. El sistema de cifrado, denominado OPEN SSL, se utilizaba en el 17,5% o medio millón de servidores web "seguros". Son muchos datos vulnerables.
Dado que se trata de un problema de los sitios web que visitas (del lado del servidor), y no de un problema de tu ordenador (del lado del cliente), corresponde a los administradores de red parchear este exploit. La mayoría de los sitios web de renombre parcheados para este exploit hace años, pero no todos, por lo que sigue siendo un problema a tener en cuenta.
2017 fue un año excepcional para el ransomware. Los ataques de ransomware WannaCry y NotPetya aprovecharon los exploits EternalBlue/DoublePulsar Windows para colarse en los ordenadores y tomar los datos como rehenes. Combinados, estos dos ataques causaron daños por valor de 18.000 millones de dólares en todo el mundo. El ataque NotPetya, en particular, paralizó temporalmente -entre otras muchas- una fábrica de chocolate Cadbury y el fabricante de preservativos Durex. Los hedonistas de todo el mundo contuvieron la respiración hasta que el exploit fue parcheado.
El ataque a Equifax de 2017 podría haberse evitado si la oficina de crédito se hubiera esforzado más por mantener actualizado su software. En este caso, el fallo de software que los ciberdelincuentes utilizaron para entrar en la red de datos de Equifax ya era conocido y había un parche disponible. En lugar de parchear las cosas, Equifax y su software obsoleto permitieron a los ciberdelincuentes robar información personal de cientos de millones de clientes estadounidenses. "Gracias".
Antes de que los usuarios de Apple empiecen a pensar que los Mac no son susceptibles de sufrir ataques basados en exploits, hay que tener en cuenta el estremecedor error de root de 2017, que permitía a los ciberdelincuentes introducir la palabra "root" en el campo de nombre de usuario y pulsar retorno dos veces para obtener acceso completo al ordenador. Ese error se corrigió rápidamente antes de que los ciberdelincuentes pudieran aprovecharlo, pero esto demuestra que cualquier software puede tener errores explotables. Por ejemplo, informamos de que los exploits deMac están aumentando. A finales de 2017, había un 270% más de amenazas únicas en la plataforma Mac que en 2016.
Últimamente, ha habido pocas noticias en el mundo de los exploits para navegadores. Por otro lado, los kits de exploits para Office tienden al alza. Desde 2017 hemos notado un aumento en el uso de kits de exploits basados en Office. Fue en otoño de ese año cuando informamos por primera vez sobre varios exploits innovadores de Word, incluido uno oculto en notificaciones falsas del IRS y otro ataque de día cero oculto en documentos de Word, que requerían poca o ninguna interacción por parte de la víctima para iniciarse.
Ahora estamos viendo un nuevo tipo de kit de explotación de Office que no se basa en macros, es decir, código especial incrustado en el documento, para hacer su trabajo sucio. Este exploit kit, en cambio, utiliza el documento como señuelo mientras activa una descarga automática que despliega el exploit.
Más recientemente, los ciberdelincuentes están desplegando malware sin archivos, llamado así porque este tipo de malware no depende del código instalado en el ordenador objetivo para funcionar. En su lugar, el malware sin archivos explota las aplicaciones ya instaladas en el ordenador, convirtiéndolo en un arma contra sí mismo y contra otros ordenadores.
Exploits en móviles: Android y iOS
La mayor preocupación de los usuarios de móviles es instalar aplicaciones que no han sido aprobadas por Google y Apple. Descargar aplicaciones fuera de Google Play Store y Apple App Store significa que no han sido examinadas por las respectivas empresas. Estas aplicaciones no fiables pueden intentar aprovecharse de las vulnerabilidades de iOS/Android para acceder al dispositivo móvil, robar información confidencial y realizar otras acciones maliciosas.
¿Cómo puedo protegerme de los exploits?
Los exploits pueden dar miedo. ¿Significa eso que debemos tirar nuestros routers por la ventana y fingir que estamos en la Edad Media informática anterior a Internet? Por supuesto que no. Aquí tienes algunos consejos si quieres ser proactivo en la protección contra los exploits.
- Mantente al día. ¿Actualiza regularmente su sistema operativo y las distintas aplicaciones que tiene instaladas? Si su respuesta es negativa, podría ser una víctima potencial de los ciberdelincuentes. Una vez que el proveedor de software conoce un exploit de día cero y publica un parche, es responsabilidad del usuario individual parchear y actualizar su software. De hecho, los exploits de día cero se vuelven más peligrosos y se extienden más después de que se hacen públicos, porque un grupo más amplio de actores de amenazas se aprovecha del exploit. Compruebe con sus proveedores de software si hay actualizaciones o parches disponibles. Si es posible, vaya a la configuración de su software y active las actualizaciones automáticas para que éstas se produzcan automáticamente en segundo plano sin ningún esfuerzo adicional por su parte. Esto eliminará el tiempo que transcurre entre el anuncio de una vulnerabilidad y la aplicación del parche. Los ciberdelincuentes se aprovechan de las personas que olvidan o simplemente no saben actualizar y parchear su software.
- Actualiza tu software. En algunos casos, una aplicación de software se vuelve tan antigua y difícil de manejar que el fabricante deja de prestarle soporte(abandonware), lo que significa que cualquier error adicional que se descubra no será corregido. Siguiendo el consejo anterior, asegúrate de que el fabricante sigue dando soporte a tu software. Si no es así, actualízalo a la última versión o cambia a otro programa que haga lo mismo.
- Manténgase seguro en Internet. Asegúrate de que Microsoft SmartScreen o Google Safe Browsing están activados en el navegador que elijas. Tu navegador comprobará cada sitio que visites con las listas negras de Microsoft y Google y te alejará de los sitios conocidos por contener malware. Herramientas antimalware eficaces como Malwarebytespor ejemplo, también bloquearán los sitios maliciosos, ofreciéndole múltiples capas de protección.
- Úsalo o piérdelo. Los hackers van a hackear. No hay mucho que podamos hacer al respecto. Pero si no hay software, no hay vulnerabilidad. Si ya no usas el software, bórralo de tu ordenador. Los hackers no pueden entrar en algo que no está ahí.
- Instale aplicaciones autorizadas. Cuando se trata de mantener la seguridad en tu dispositivo móvil, utiliza solo aplicaciones autorizadas. Hay ocasiones en las que puedes salirte de App Store y Google Play Store, como cuando estás probando una nueva aplicación, pero debes estar doblemente seguro de que puedes confiar en el fabricante de la aplicación. En general, sin embargo, limítate a las aplicaciones autorizadas que hayan sido examinadas por Apple y Google.
- Utilice software antiexploit. Ya ha tomado todas las precauciones necesarias para evitar los ataques basados en exploits. ¿Qué ocurre con los exploits de día cero? Recuerde que un exploit de día cero es una vulnerabilidad de software que sólo conocen los ciberdelincuentes. No hay mucho que podamos hacer para protegernos de las amenazas que no conocemos. ¿O no? Un buen programa antimalware, como Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android, o Malwarebytes para iOS, puede reconocer y bloquear de forma proactiva el software malicioso que se aprovecha de las vulnerabilidades de tu ordenador mediante un análisis heurístico del ataque. En otras palabras, si el programa sospechoso está estructurado y se comporta como malware, Malwarebytes lo marcará y lo pondrá en cuarentena.
¿Cómo afectan los exploits a mi negocio?
En muchos sentidos, su empresa representa un objetivo de mayor valor para los ciberdelincuentes y los exploits que el consumidor individual: más datos que robar, más por los que pedir rescate y más puntos finales que atacar.
Tomemos, por ejemplo, la filtración de datos de Equifax. En este caso, los ciberdelincuentes utilizaron un exploit en Apache Struts 2 para acceder a la red de Equifax y escalar sus privilegios de usuario. Una vez en la red, los atacantes se convirtieron en administradores del sistema y accedieron a datos confidenciales de millones de consumidores. Nadie conoce todas las consecuencias del ataque a Equifax, pero podría acabar costando millones de dólares a la agencia de crédito. Se está preparando una demanda colectiva y los particulares también están llevando a Equifax ante tribunales de menor cuantía, ganando más de 8.000 dólares por caso.
Además de la escalada de privilegios, los exploits pueden utilizarse para desplegar otro malware, como ocurrió con el ataque del ransomware NotPetya. NotPetya se propagó por Internet atacando tanto a particulares como a empresas. Utilizando los exploits EternalBlue y MimiKatz Windows , NotPetya se afianzó en una red y se propagó de ordenador en ordenador, bloqueando cada punto final, cifrando los datos de los usuarios y paralizando el negocio. Ordenadores, teléfonos inteligentes, teléfonos de escritorio VOIP, impresoras y servidores quedaron inutilizados. Total Los daños a empresas de todo el mundo se han estimado en 10.000 millones de dólares.
¿Cómo puede proteger su empresa? Tiene que eliminar los puntos débiles de su sistema con una buena estrategia de gestión de parches. He aquí algunas cosas que debes tener en cuenta mientras averiguas qué es lo mejor para tu red.
- Implemente la segmentación de la red. Repartir los datos en subredes más pequeñas reduce la superficie de ataque: los objetivos más pequeños son más difíciles de alcanzar. Esto puede ayudar a contener una brecha a sólo unos pocos puntos finales en lugar de toda su infraestructura.
- Aplique el principio del mínimo privilegio (PoLP). En pocas palabras, dar a los usuarios el nivel de acceso que necesitan para hacer su trabajo y nada más. De nuevo, esto ayuda a contener los daños de las brechas o los ataques de ransomware.
- Manténgase al día con las actualizaciones. Esté atento al martes de parches y planifique en consecuencia. El Centro de Respuesta de Microsoft Security mantiene un blog con toda la información sobre las últimas actualizaciones. También puedes suscribirte a su boletín electrónico para estar al tanto de los parches que se actualizan cada mes.
- Priorice sus actualizaciones. Al día siguiente del martes de parches se le llama a veces el miércoles de los exploits. Los ciberdelincuentes se han dado cuenta de los exploits potenciales y la carrera comienza para actualizar los sistemas antes de que los ciberdelincuentes tengan la oportunidad de atacar. Para agilizar el proceso de aplicación de parches, debería considerar la posibilidad de lanzar actualizaciones en cada punto final desde un agente central, en lugar de dejar que cada usuario final las complete a su propio ritmo.
- Revise las actualizaciones a posteriori. Se supone que los parches arreglan el software, pero a veces acaban rompiendo cosas. Merece la pena hacer un seguimiento y asegurarse de que los parches que ha enviado a su red no han empeorado las cosas, y desinstalarlos si es necesario.
- Deshágase del software abandonado. A veces es difícil deshacerse de software antiguo que ha pasado su fecha de caducidad, especialmente en una gran empresa donde el ciclo de compras se mueve con la urgencia de un perezoso, pero el software descatalogado es realmente el peor escenario posible para cualquier administrador de red o de sistemas. Los ciberdelincuentes buscan activamente sistemas con software anticuado y obsoleto, así que sustitúyalo lo antes posible.
- Por supuesto, un buen software de seguridad para puntos finales es una parte esencial de cualquier programa de protección contra exploits. Piense en Malwarebytes. Con Malwarebytes Endpoint Protection y Malwarebytes Endpoint Detection and Response, tenemos una solución para todas las necesidades de seguridad de su empresa.
Por último, si todo esto no ha saciado tu hambre de conocimientos sobre exploits, siempre puedes leer más sobre exploits en el blog Malwarebytes Labs .
Noticias sobre exploits
- Log4j zero-day "Log4Shell" llega justo a tiempo para arruinar tu fin de semana
- Windows La vulnerabilidad del instalador se convierte en un día cero activamente explotado
- ¡Parche ahora! Servidores Exchange atacados por los zero-days de Hafnium
- El descubrimiento del día cero de Zoom hace que las llamadas sean más seguras y que los hackers se enriquezcan con 200.000 dólares
- Android ya hay parches para 4 bugs in-the-wild, pero ¿cuándo los tendrás?
- ¡Actúe! Múltiples vulnerabilidades de Pulse Secure VPN explotadas in the wild
- Actualícese ahora: Chrome parchea un día cero que fue explotado en la naturaleza.
- Gran martes de parches: Microsoft y Adobe corrigen exploits de gran alcance
- ¡Actualiza tu iOS ahora! Apple parchea tres vulnerabilidades de día cero
- Una guía de día cero para 2020: Ataques recientes y técnicas preventivas advanced
Revisiones de kits de explotación:
Kits de exploits: revisión primavera 2019
Kits de exploits: revisión invierno 2019
Kits de exploits: revisión otoño 2018
Kits de exploits: revisión verano 2018
Kits de exploits: revisión primavera 2018
Kits de exploits: revisión invierno 2018
Lee más noticias sobre exploits y vulnerabilidades en el blog Malwarebytes Labs .