Explota

Lo que necesitas saber sobre los exploits informáticos

Exploits informáticos. ¿Qué son y por qué deberías preocuparte?

¿Alguna vez has notado cómo los desarrolladores de software están constantemente parcheando y actualizando sus programas, a veces lanzando actualizaciones pocos días después del lanzamiento inicial del software?

Eso se debe a que cada software que poseas y que alguna vez poseerás tendrá vulnerabilidades que los ciberdelincuentes pueden encontrar y aprovechar, en otras palabras, "explotar". No existe el software libre de exploits; siempre habrá agujeros. El software informático es tan sólido como un bloque de queso suizo.

Mediante exploits, los ciberdelincuentes pueden acceder a tu computadora y robar información sensible o instalar malware. A pesar de una desaceleración en la actividad de exploits, los ciberdelincuentes continúan recurriendo a este método sigiloso de ataque. Con eso en mente, ahora es el momento perfecto para educarnos sobre el tema de los exploits y protegernos adecuadamente. Así que desplázate hacia abajo, sigue leyendo y aprende todo lo que necesitas saber sobre los exploits informáticos.

¿Qué es un exploit? Definición de exploit

Un exploit informático es un tipo de malware que aprovecha errores o vulnerabilidades, utilizadas por los ciberdelincuentes para obtener acceso ilícito a un sistema. Estas vulnerabilidades están ocultas en el código del sistema operativo y sus aplicaciones, esperando ser descubiertas y utilizadas por los ciberdelincuentes. El software comúnmente explotado incluye el sistema operativo mismo, navegadores, Microsoft Office y aplicaciones de terceros. A veces, los grupos de ciberdelincuentes empaquetan los exploits en lo que se llama un kit de exploits. Los kits de exploits facilitan que los delincuentes con conocimientos técnicos limitados utilicen exploits y propaguen malware.

Para entender mejor qué son los exploits, podría ayudar pensar en los candados cilíndricos para bicicletas y portátiles caros populares a principios de los años 2000. La gente pagaba más de $50 por estos candados, pensando que mantenían sus objetos de valor seguros, hasta que alguien subió un video en línea demostrando cómo se podían abrir en cuestión de segundos usando un bolígrafo Bic barato y fácilmente disponible.

Esto obligó a los fabricantes de candados a actualizar sus productos y los consumidores a cambiar a los nuevos candados a prueba de ganzúas. Este es un exploit tangible de un sistema de seguridad físico. Aplicado al software, los ciberdelincuentes buscan trucos ingeniosos, al igual que el tipo del bolígrafo Bic, que les permitirá acceder a las computadoras, dispositivos móviles y redes de otras personas.

Los ataques de exploits a menudo comienzan con malspam y descargas completas. Los ciberdelincuentes engañan a las víctimas desprevenidas para que abran un archivo adjunto infectado en un correo electrónico o hagan clic en enlaces que redirigen a un sitio web malicioso. Los archivos adjuntos infectados, a menudo un documento de Word o PDF, contendrán código exploit diseñado para aprovechar debilidades de aplicaciones.

Las descargas completas aprovechan las vulnerabilidades en tu navegador, como Internet Explorer o Firefox, por ejemplo, o los complementos que se ejecutan en tu navegador, como Flash. Puedes visitar un sitio web que has visitado de forma segura en el pasado, pero esta vez el sitio ha sido hackeado y ni siquiera lo sabrás. Alternativamente, puedes hacer clic en un enlace malicioso en un correo spam que te lleva a una versión falsificada de un sitio web familiar.

Y en casos particularmente complicados, podrías visitar un sitio web legítimo que muestra un anuncio o ventana emergente infectado con malware, también conocido como malvertising. Al visitar el sitio, el código malicioso en la página web trabajará de manera invisible en el fondo para cargar malware en tu computadora.

Los ciberdelincuentes usan exploits como un medio para lograr fines maliciosos, que van desde problemas molestos hasta molestias incapacitantes. Los ciberdelincuentes pueden intentar poner los recursos de tu computadora a trabajar en un botnet zombie para propósitos de un ataque DDoS o para minar Bitcoin (cryptojacking).

Alternativamente, los ciberdelincuentes pueden intentar instalar adware y llenar tu escritorio con anuncios. Los ciberdelincuentes pueden querer ingresar a tu sistema y robar datos directamente o instalar malware para recopilar datos de forma secreta de ti con el tiempo (spyware). Finalmente, los ciberdelincuentes pueden instalar malware que cifra todos tus archivos y exigir un pago a cambio de la clave de desencriptación (ransomware).

¿Qué es un exploit de día cero?

¡Día cero! El único día del año que pausamos para reconocer el pequeño y humilde cero. Si tan solo eso fuera cierto. En realidad, un exploit de día cero, también conocido como exploit de cero horas, es una vulnerabilidad de software que nadie, excepto el ciberdelincuente que la creó, conoce y para la cual no hay una solución disponible. Una vez que un exploit se convierte en conocimiento público, ya no es un día cero. A veces, un exploit conocido se refiere como un exploit n-day, indicando que uno o más días han pasado desde que el exploit fue divulgado.

Una vez que un exploit de día cero se convierte en información pública, los fabricantes de software están en una carrera contra los criminales para parchear el exploit antes de que los criminales puedan sacar provecho y obtener los beneficios. Afortunadamente, los investigadores tienen escrúpulos. Si los investigadores encuentran un exploit antes que los criminales, generalmente informarán el fallo al fabricante y le darán la oportunidad de solucionarlo antes de divulgarlo al público (y a los criminales).

Buscar proactivamente exploits se ha convertido en un deporte para algunos hackers. En la competencia anual Pwn2own, los expertos en exploits ganan dinero y premios por hackear con éxito software popular en múltiples categorías, incluyendo navegadores web y aplicaciones empresariales. Como una demostración de su interés en la seguridad del software, Microsoft y VMware patrocinaron el evento Pwn2own en 2018.

En cuanto a que los fabricantes de software sean proactivos en encontrar y corregir vulnerabilidades, David Sanchez, Ingeniero Principal de Investigación en Malwarebytes dijo: “Es cierto que Microsoft y otros fabricantes están trabajando muy duro para asegurar sus aplicaciones como Office y explotarlas se ha vuelto difícil—casi imposible. Sin embargo, los expertos en seguridad y los ciberdelincuentes todavía encuentran formas de explotarlas con éxito. La seguridad al 100% es solo una ilusión, pero las aplicaciones de Malwarebytes protegen a las personas lo más cerca posible de ese 100%.”

“La seguridad al 100% es solo una ilusión. Las aplicaciones de Malwarebytes protegen a las personas lo más cerca posible de ese 100%.”
– David Sanchez
Ingeniero Principal de Investigación en Malwarebytes

Historia de los exploits informáticos

Los exploits son tan antiguos como la informática. Como hemos señalado, todo software tiene vulnerabilidades y ha habido algunas realmente espectaculares a lo largo de los años. Aquí tienes un resumen rápido de algunos de los exploits informáticos más notables.

Nuestra exploración de los mayores (es decir, los peores) exploits del mundo comienza en 1988 con el gusano Morris, uno de los primeros gusanos y exploits informáticos. Nombrado así por su creador Robert Tappan Morris, el gusano epónimo fue diseñado para averiguar qué tan grande era Internet en esos primeros años formativos utilizando varias vulnerabilidades para acceder a cuentas y determinar la cantidad de computadoras conectadas a una red.

El gusano se salió de control, infectando computadoras múltiples veces, ejecutando varias copias del gusano simultáneamente hasta que no quedaban recursos para los usuarios legítimos. El gusano Morris se había convertido efectivamente en un ataque DDoS.

El gusano SQL Slammer causó sensación en 2003, reclutando alrededor de 250,000 servidores que ejecutaban el software SQL Server de Microsoft en su botnet. Una vez infectado un servidor, utilizaba un estilo de ataque al azar, generando direcciones IP aleatorias y enviando código infectado a esas direcciones. Si el servidor objetivo tenía instalado SQL Server, también sería infectado y agregado al botnet. Como resultado de SQL Slammer, 13,000 cajeros automáticos del Bank of America quedaron fuera de servicio.

El gusano Conficker de 2008 es notable por un par de razones. Primero, reunió una gran cantidad de computadoras en su botnet; se reporta que 11 millones de dispositivos en su apogeo. Segundo, Conficker popularizó un tipo de técnica de subterfugio que los virus usan para evitar ser detectados llamada Algoritmo Generador de Dominios (DGA). En resumen, la técnica DGA permite a un poco de malware comunicarse infinitamente con su servidor de mando y control (C&C) generando nuevos dominios y direcciones IP.

Diseñado para atacar el programa nuclear de Irán, el gusano Stuxnet de 2010 aprovechó múltiples vulnerabilidades de día cero en Windows para acceder a un sistema. Desde allí, el gusano podía autorreplicarse y propagarse de un sistema a otro.

Descubierto en 2014, el exploit Heartbleed fue utilizado para atacar el sistema de encriptación que permite que computadoras y servidores conversen entre sí de manera privada. En otras palabras, los ciberdelincuentes podrían usar el exploit para interceptar tu conversación digital. El sistema de encriptación, llamado OPEN SSL, se utilizaba en 17.5% o medio millón de servidores web "seguros". Eso es una gran cantidad de datos vulnerables.

Dado que este es un problema para los sitios web que visitas (lado del servidor), en lugar de un problema en tu computadora (lado del cliente), depende de los administradores de red parchear este exploit. La mayoría de los sitios web reputados parchearon para este exploit hace años, pero no todos, por lo que sigue siendo un problema a tener en cuenta.

El año 2017 fue un gran año para el ransomware. Los ataques de ransomware WannaCry y NotPetya aprovecharon los exploits EternalBlue/DoublePulsar de Windows para infiltrarse en las computadoras y retener datos como rehenes. Combinados, estos dos ataques causaron 18 mil millones de dólares en daños en todo el mundo. El ataque NotPetya en particular paralizó temporalmente—a muchos otros—una fábrica de chocolate Cadbury y al fabricante de condones Durex. Los hedonistas de todo el mundo contuvieron la respiración colectiva hasta que el exploit fue parcheado.

El ataque a Equifax de 2017 podría haberse evitado si el buró de crédito hubiera hecho un mejor esfuerzo para mantener su software actualizado. En este caso, el fallo de software que utilizaron los ciberdelincuentes para acceder a la red de datos de Equifax ya era bien conocido y había un parche disponible. En lugar de arreglar las cosas, Equifax y su software desactualizado permitieron que los ciberdelincuentes robaran información personal de cientos de millones de clientes estadounidenses. "Gracias."

Ahora, antes de que los usuarios de Apple comiencen a pensar que las Macs no son susceptibles a ataques basados en exploits, consideren el cringe-inducing bug de raíz de 2017 que permitía a los ciberdelincuentes simplemente ingresar la palabra "root" en el campo de nombre de usuario y presionar enter dos veces para obtener acceso completo a la computadora. Ese error se corrigió rápidamente antes de que los ciberdelincuentes pudieran aprovecharse, pero esto solo demuestra que cualquier software puede tener errores explotables. Para que sirva de ejemplo, informamos que los exploits en Mac están en aumento. A fines de 2017, había 270 por ciento más amenazas únicas en la plataforma Mac que en 2016.

Últimamente, ha habido pocas noticias en el mundo de los exploits de navegadores. Por otro lado, los kits de exploits de Office están en aumento. Desde 2017 hemos notado un aumento en el uso de kits de exploits basados en Office. Fue en el otoño de ese año que informamos por primera vez sobre múltiples exploits innovadores de Word, incluidos uno oculto en avisos falsos del IRS y otro ataque de día cero oculto en documentos de Word, requiriendo poca o ninguna interacción de la víctima para iniciarse.

Ahora estamos viendo un nuevo tipo de kit de exploits de Office que no se basa en macros; es decir, código especial incrustado en el documento, para hacer su trabajo sucio. Este kit de exploits, en cambio, utiliza el documento como señuelo mientras activa una descarga automática que despliega el exploit.

Más recientemente, los ciberdelincuentes están desplegando malware sin archivos, llamado así porque este tipo de malware no depende de código instalado en la computadora objetivo para funcionar. En cambio, el malware sin archivos explota las aplicaciones ya instaladas en la computadora, convirtiéndola efectivamente en un arma contra sí misma y otras computadoras.

"El malware sin archivos explota las aplicaciones ya instaladas en la computadora, convirtiéndola efectivamente en un arma contra sí misma y otras computadoras."

Exploits en móviles: Android e iOS

La mayor preocupación para los usuarios móviles es instalar aplicaciones que no han sido aprobadas por Google y Apple. Descargar aplicaciones fuera de la Google Play Store y la Apple App Store significa que las aplicaciones no han sido verificadas por las respectivas compañías. Estas aplicaciones no confiables pueden intentar explotar vulnerabilidades en iOS/Android para acceder a tu dispositivo móvil, robar información sensible y realizar otras acciones maliciosas.

¿Cómo puedo protegerme de los exploits?

Los exploits pueden dar miedo. ¿Eso significa que deberíamos tirar nuestros routers por la ventana y fingir que estamos en la era oscura de las computadoras sin internet? Ciertamente no. Aquí tienes algunos consejos si quieres ser proactivo sobre la protección contra exploits.

Mantente actualizado. ¿Actualizas regularmente tu sistema operativo y todas las varias aplicaciones que tienes instaladas? Si respondiste que no, podrías ser una potencial víctima para los ciberdelincuentes. Después de que un exploit de día cero se da a conocer al proveedor de software y se lanza un parche, la responsabilidad recae en el usuario individual para parchear y actualizar su software. De hecho, los exploits de día cero se vuelven más peligrosos y generalizados después de que se hacen de conocimiento público, porque un grupo más amplio de actores de amenazas está aprovechando el exploit. Consulta con tus proveedores de software y ve si hay actualizaciones o parches disponibles. Si es posible, accede a la configuración de tu software y activa las actualizaciones automáticas para que estas actualizaciones se realicen automáticamente en segundo plano sin ningún esfuerzo adicional de tu parte. Esto eliminará la cantidad de tiempo de retraso entre cuando se anuncia una vulnerabilidad y cuando se parchea. Los ciberdelincuentes se aprovechan de las personas que olvidan o simplemente no saben actualizar y parchear su software.
Actualiza tu software. En algunos casos, una aplicación de software se vuelve tan antigua y torpe que el fabricante del software deja de dar soporte (abandonware), lo que significa que no se corregirán los errores adicionales que se descubran. Siguiendo de cerca el consejo anterior, asegúrate de que tu software todavía esté soportado por el fabricante. Si no lo está, actualiza a la última versión o cambia a algo más que haga lo mismo.
Mantente seguro en línea. Asegúrate de que Microsoft SmartScreen o Google Safe Browsing estén habilitados en tu navegador web preferido. Tu navegador verificará cada sitio que visitas contra las listas negras mantenidas por Microsoft y Google y te alejará de sitios conocidos por distribuir malware. Herramientas antimalware efectivas como Malwarebytes, por ejemplo, también bloquearán sitios maliciosos, ofreciéndote múltiples capas de protección.
Úsalo o piérdelo. Los hackers van a hackear. No hay mucho que podamos hacer al respecto. Pero si no hay software, no hay vulnerabilidad. Si ya no estás utilizando el software, elimínalo de tu computadora. Los hackers no pueden piratear algo que no está allí.
Instala aplicaciones autorizadas. Cuando se trata de mantenerte seguro en tu dispositivo móvil, mantente solo en aplicaciones autorizadas. Hay momentos en que podrías querer salir de la App Store y Google Play Store, como cuando estás probando una nueva aplicación en fase beta, pero deberías estar doblemente seguro de que puedes confiar en el creador de la aplicación. Sin embargo, generalmente hablando, quédate con aplicaciones aprobadas que han sido verificadas por Apple y Google.
Utilice software antiexploit. Ya ha tomado todas las precauciones necesarias para evitar los ataques basados en exploits. ¿Qué ocurre con los exploits de día cero? Recuerde que un exploit de día cero es una vulnerabilidad de software que sólo conocen los ciberdelincuentes. No hay mucho que podamos hacer para protegernos de las amenazas que no conocemos. ¿O no? Un buen programa antimalware, como Malwarebytes para Windows, Malwarebytes para Mac, Malwarebytes para Android, o Malwarebytes para iOS, puede reconocer y bloquear de forma proactiva el software malicioso que se aprovecha de las vulnerabilidades de tu ordenador mediante un análisis heurístico del ataque. En otras palabras, si el programa sospechoso está estructurado y se comporta como malware, Malwarebytes lo marcará y lo pondrá en cuarentena.

¿Cómo afectan los exploits a mi negocio?

En muchos casos, tu empresa representa un objetivo de mayor valor para los ciberdelincuentes y los exploits que el consumidor individual: más datos para robar, más para retener como rehén y más puntos finales para atacar.

Tomemos, por ejemplo, la violación de datos de Equifax. En este caso, los ciberdelincuentes utilizaron un exploit en Apache Struts 2 para acceder a la red de Equifax y escalar sus privilegios de usuario. Una vez que los atacantes estaban en la red, se convirtieron en los administradores del sistema, obteniendo acceso a datos sensibles de millones de consumidores. Nadie conoce el impacto total del ataque a Equifax, pero podría terminar costando millones de dólares a la agencia de crédito. Hay una demanda colectiva en preparación y individuos están llevando a Equifax a tribunales de reclamos menores también, ganando más de $8,000 por caso.

Además de la escalada de privilegios, los exploits pueden utilizarse para desplegar otro malware, como ocurrió con el ataque del ransomware NotPetya. NotPetya se propagó por Internet atacando tanto a particulares como a empresas. Utilizando los exploits EternalBlue y MimiKatz Windows , NotPetya se afianzó en una red y se propagó de ordenador en ordenador, bloqueando cada punto final, cifrando los datos de los usuarios y paralizando el negocio. Ordenadores, teléfonos inteligentes, teléfonos de escritorio VOIP, impresoras y servidores quedaron inutilizados. Total Los daños a empresas de todo el mundo se han estimado en 10.000 millones de dólares.

Entonces, ¿cómo puedes proteger tu negocio? Necesitas deshacerte de las debilidades en tu sistema con una buena estrategia de gestión de parches. Aquí tienes algunas cosas a tener en cuenta mientras averiguas qué es lo mejor para tu red.

Implementa la segmentación de red. Dividir tus datos en subredes más pequeñas reduce tu superficie de ataque; los objetivos más pequeños son más difíciles de alcanzar. Esto puede ayudar a contener una brecha a solo unos pocos puntos finales en lugar de toda tu infraestructura.
Aplica el principio de privilegio mínimo (PoLP). En resumen, otorga a los usuarios el nivel de acceso que necesitan para hacer su trabajo y nada más. Nuevamente, esto ayuda a contener los daños por brechas o ataques de ransomware.
Manténgase al día con las actualizaciones. Esté atento al martes de parches y planifique en consecuencia. El Centro de Respuesta de Microsoft Security mantiene un blog con toda la información sobre las últimas actualizaciones. También puedes suscribirte a su boletín electrónico para estar al tanto de los parches que se actualizan cada mes.
Prioriza tus actualizaciones. El día después del Patch Tuesday a veces se llama (de forma irónica) Exploit Wednesday. Los ciberdelincuentes son conscientes de las potenciales vulnerabilidades y comienza la carrera para actualizar los sistemas antes de que puedan atacar. Para acelerar el proceso de parches, considera lanzar actualizaciones en cada punto final desde un agente central, en lugar de dejar que cada usuario final lo haga por su cuenta.
Audita tus actualizaciones después. Se supone que los parches arreglan el software, pero a veces terminan rompiendo cosas. Vale la pena asegurarse de que los parches que implementaste en tu red no empeoraron las cosas y desinstalarlos si es necesario.
Deshazte del software obsoleto. A veces es difícil desactivar software antiguo que ya caducó—especialmente en una gran empresa donde el ciclo de compras es lento, pero el software descontinuado es la peor opción para cualquier administrador de red o sistema. Los ciberdelincuentes buscan activamente sistemas que ejecuten software obsoleto, así que reemplázalo tan pronto como sea posible.
Por supuesto, un buen software de seguridad para puntos finales es una parte esencial de cualquier programa de protección contra exploits. Piense en Malwarebytes. Con Malwarebytes Endpoint Protection y Malwarebytes Endpoint Detection and Response, tenemos una solución para todas las necesidades de seguridad de su empresa.

Por último, si todo esto no ha saciado tu hambre de conocimientos sobre exploits, siempre puedes leer más sobre exploits en el blog Malwarebytes Labs .