¡Cuidado con los Ciberataques! : Desconfiando de TODOS los sitios…

Los Hackers son muy inteligentes. Para poder tener control de su máquina, ellos intentarán que usted instale programas maliciosos. Hay maneras de hacer que el mismo sistema operativo lo haga sin que usted se dé cuenta. Pero en cualquier de los casos, el hacker debe ingeniárselas para que usted obtenga el programa, muy probablemente bajándolo de internet.

¿Cómo lo hacen? Bueno, hay muchas formas. La más famosa es el phishing, donde lo engañan a usted para que haga click en un enlace y éste bajaría el programa maloso. Como la gente ha estado más cuidadosa y ya no hace clicks sin pensarlo un poco, y menos entran a sitios que no conocen, los hackers han encontrado una nueva manera de hacernos caer en la trampa: Comprometiendo Páginas Conocidas.

Veamos cómo funciona. Hay un ataque muy popular que se conoce como “defacement” en el cuál el hacker busca páginas que posiblemente tengan muy custodiada la información y los servidores internos, pero dejan con poca protección a los servidores que simplemente dan información. Por ejemplo, un banco tendrá muy protegida toda la zona de transacciones, pero las paginitas de ofertas y publicidad de sus tarjetas no tanto.  Así, era común que los hackers se divirtieran cambiando las páginas de publicidad para poner mensajes ridiculizando a la empresa.  Pues bien, ahora esas mismas técnicas de atacar las páginas vulnerables de un sitio se usa pero con otro fin: inyección de código malicioso.  Así se “compromete” al sitio.

El hacker ahora no cambia nada visual de la página. Lo que hace es inyectar pequeños trozos de código web (HTML o Javascript) que llaman algún recurso de otra página malévola. Así, nosotros entramos a ver la página oficial del sitio y sin darnos cuenta estamos bajando código y otros recursos de un sitio malévolo tras bambalinas. ¡Estamos en la página oficial de un sitio serio! Pero que ha sido manipulada para bajar cosas que nos harán daño. ¡Y está funcionando! La táctica se está usando mucho .

Resulta que hace unos días se dio a conocer la noticia de que a empleados de empresas tan importantes como Facebook y Apple se les pegó un malware porque visitaron un sitio comprometido. El sitio era de desarrolladores de aplicaciones para iPhone y son personas serias que nada tienen que ver con los hackers. El hacker infectó el sitio de esos desarrolladores y cuando otras personas lo visitaron, quedaron contagiados. Se usó la técnica descrita arriba. Ahora sale otra noticia en la que la página comprometida es la de la NBC.  Este sitio tenía una página comprometida a la que le inyectaron un código html (un iframe) que bajaba un applet de java (tratando de explotar el problema de seguridad de plugines de java del cual comenté anteriormente). Claro, el ataque tendría éxito si no se siguen las sugerencias que se dan al respecto y el usuario no tiene cuidado con lo que ejecuta.

La idea de los hackers es comprometer páginas famosas de alto tráfico, como la NBC, para que sea mayor la capacidad de infección al tener más visitas y ser una página “seria” que le da confianza a la gente. ¡Hay que tener mucho cuidado!
Pero aún hay más. El troyano que se bajaba en la página de la NBC era Citadel. Este es un programita que se instala silencioso en su máquina y usualmente grava todos sus teclados y captura su pantalla cuando entra a ciertos bancos y luego los manda al hacker. Está diseñado para robarse las contraseñas usadas para ingresar a los bancos. En sus nuevas versiones, tiene incluso la capacidad de inyectar ventanas en el navegador, haciéndose pasar por el banco, pidiendo el ingreso de datos de seguridad. La gente es engañada totalmente porque está en el sitio del banco oficial, pero la ventana la creó el Citadel dinámicamente sin que el banco se dé cuenta.

¿Qué hacer? Es claro que hay que tener mucho cuidado, estar alerta de las advertencias y tomar las precauciones del caso. Siga las sugerencias para con el plugin de Java, que parece ser el que más están usando para esto. Solicite a su banco mejores sistemas de autenticación (que no sean sólo contraseñas). Por ejemplo, la firma digital sería imbatible en estos casos. Las tarjetas de códigos no sirven porque con ingresar unas cuantas veces el hacker las podría copiar completas. Los OTP, los tokens, ayudan algo porque el número cambia cada cierta cantidad de segundos, pero eso aun así da una ventana al hacker de unos segundos para poder ingresar a hacer de las suyas.

Así que valga la advertencia, para todo el mundo. Hay que desconfiar de todos y ser precavidos.