Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Por qué han recurrido los cibercriminales a los ataques de

Anuncio 
Por qué han recurrido los cibercriminales a
los ataques de JavaScript malicioso
Los ataques a sitios web se han convertido en un negocio muy rentable.
Antes, los cibercriminales infectaban sitios web para llamar la atención
o demostrar sus habilidades pero, hoy en día, es cuestión de dinero.
Engañar a los usuarios desprevenidos a través de internet resulta fácil y
efectivo.
Los cibercriminales disponen de técnicas sofisticadas, como las
inyecciones de código JavaScript, para la difusión de malware a través
de internet.
Descubra la amenaza que suponen los ataques de JavaScript malicioso
y cómo funcionan. Este artículo le ayudará a entender mejor cómo
consiguen dinero los cibercriminales con este tipo de ataques y las
razones por las que los responsables informáticos deben mantenerse
alerta.
Monográficos de Sophos. Diciembre de 2010
Por qué han recurrido los cibercriminales a los ataques de
JavaScript malicioso
Captación de víctimas a través de internet
Hoy en día, casi todas las empresas cuentan con
Existen ciertos mitos entre los usuarios en torno a los
métodos para la protección del correo electrónico,
peligros que representan los virus. Incluso algunos
lo que dificulta aún más la difusión de programas
técnicos informáticos piensan que, si siguen estas
maliciosos a través de mensajes de email. Por eso,
reglas, sus equipos estarán a salvo. Estas son algunas
los cibercriminales se ven en la obligación de utilizar
de las falsas creencias más extendidas:
internet como vehículo para la distribución de contenido
• Sólo los usuarios ingenuos sufren infecciones.
malicioso. SophosLabs detecta 50.000 nuevas páginas
• Las infecciones sólo se producen al descargar
web infectadas al día.
archivos.
• Los únicos sitios web peligrosos son los sitios
La Web es un medio atractivo para los creadores de
malware y representa una amenaza cada vez mayor por
tres razones fundamentales:
pornográficos, de apuestas o sospechosos.
• Para infectarse, es necesario hacer clic en un enlace
malicioso.
• Su alcance global: las amenazas pueden alojarse en
cualquier sitio de internet.
• La facilidad de infección: los usuarios y los sistemas
son muy vulnerables.
Evidentemente, mantenerse alejado de sitios
sospechosos y no descargar archivos o hacer clic en
enlaces de fuentes desconocidas, son buenas medidas
• El fallo de las defensas tradicionales: para protegerse
de precaución. Pero las fuentes de infección más
contra los ataques web modernos es necesario un
evidentes no son las únicas presentes en la Web.
planteamiento diferente.
Algunas de las marcas internacionales más populares,
incluidas ciertas empresas de seguridad líderes en
Al navegar por internet, puede dar la impresión de que
el mercado, han sido víctimas del secuestro de sus
los sitios web de empresas grandes y marcas conocidas
sitios web por parte de los cibercriminales, que los
son relativamente seguros. Sin embargo, según las
han utilizado para la difusión de programas maliciosos
estadísticas sobre delitos en la red, no es así. De hecho,
o para el desvío de los usuarios a direcciones web
aproximadamente uno de cada 150 sitios web legítimos
maliciosas.
está infectado y, de todas las páginas web infectadas
con malware, más del 80% pertenecen a sitios web
legítimos.
Monográficos de Sophos. Diciembre de 2010
2
Por qué han recurrido los cibercriminales a los ataques de
JavaScript malicioso
Funcionamiento del código Java Script
malicioso: descargas automáticas o drive-by
Cómo utilizan el JavaScript malicioso los
cibercriminales
El código JavaScript sirve para infectar sitios web
¿Cómo se producen los ataques con JavaScript
porque es el lenguaje de programación que apuntala la
malicioso?
red en la actualidad. Por lo general, suele instalarse en
el lado cliente como parte de un navegador web para
• En primer lugar, los cibercriminales inyectan código
mejorar las funciones de interfaces de usuario y sitios
en páginas web legítimas. El código inyectado puede
web dinámicos. Hoy en día, dadas las funciones de la
ser un elemento HTML de iframe o una secuencia
Web 2.0, navegar por internet sin compatibilidad con
de comandos en línea, siendo estos últimos los más
JavaScript es prácticamente imposible.
frecuentes en la actualidad.
• Cuando la víctima visita la página web
Los cibercriminales se aprovechan de esta situación
comprometida, el código inyectado hace que el
infectando sitios web legítimos y populares, visitados
navegador descargue contenido malicioso de forma
por un gran número de usuarios, para desviar a las
silenciosa desde otro sitio remoto. El proceso es
víctimas a páginas web maliciosas sin su conocimiento.
Así empieza el proceso de infección: al visitar estos
imperceptible para la víctima.
• Normalmente, el contenido cargado está compuesto
sitios maliciosos, nuevos scripts se encargan de
de varios componentes diseñados para aprovechar
aprovechar las vulnerabilidades del lado cliente.
las vulnerabilidades del lado cliente. Por ejemplo,
puede ser una mezcla de contenido HTML,
El código JavaScript inyectado sirve para ocultar el
JavaScript, Flash, PDF y Java. El paquete suele
desvío de forma más efectiva que otros métodos de
crearse y administrarse mediante un kit para el
ataque más sencillos, como los ataques de iframe.
aprovechamiento de vulnerabilidades, conocido
Los ataques con código JavaScript malicioso han
como paquete de exploits.
aumentado de forma considerable en los últimos tres
• Los criminales compran estos paquetes de exploits
o cuatro años y, actualmente, casi todos los ataques
a los expertos que los crean con la intención de
incluyen este tipo de código, pero son más complejos.
infectar a los usuarios con programas maliciosos.
Internet es el medio favorito de los cibercriminales
El aspecto más importante del proceso es que las
para la difusión de malware y, cada pocos segundos,
técnicas de ingeniería social ya no son necesarias. El
aparecen nuevos sitios web infectados. Mediante la
usuario no necesita hacer clic en ningún enlace enviado
inyección de código JavaScript malicioso en páginas
por correo electrónico ni visitar páginas web peligrosas.
web legítimas, pueden desviar los navegadores de las
Lo único que tiene que hacer es visitar una página web
víctimas de forma imperceptible y cargar contenido
legítima comprometida.
y programas maliciosos desde un servidor remoto.
Las infecciones de este tipo se denominan descargas
Los usuarios que visitan un sitio secuestrado no tienen
automáticas o drive-by y presentan numerosos retos
manera de saber que el sitio está comprometido porque
para la seguridad, tanto de las empresas como de los
el código malicioso es invisible y se ejecuta tan pronto
usuarios.
como la página se carga en el navegador.
Monográficos de Sophos. Diciembre de 2010
3
Por qué han recurrido los cibercriminales a los ataques de
JavaScript malicioso
El código suele utilizar otras secuencias de comandos
para buscar más componentes maliciosos que se
Cómo consiguen dinero los cibercriminales
con estos ataques
encargarán de aprovechar las vulnerabilidades
conocidas del navegador o del sistema operativo para
Hace sólo cinco años, los cibercriminales burlaban
infectarlo, robar datos o introducirlo en una red de bots.
los sistemas de seguridad y accedían de forma ilegal
a los equipos como mera "prueba de concepto" o
Ataques contra la optimización de los motores de búsqueda (SEO)
para obtener notoriedad personal. Hoy en día, sus
Los ataques contra la optimización de los motores de búsqueda
actividades tienen una finalidad económica. En la
(SEO) son otro de los métodos utilizados por los cibercriminales
para infectar a los usuarios con malware a través de internet.
El proceso que siguen es diferente al de los clásicos ataques de
descargas automáticas (o drive-by). Los ataques de SEO, también
conocidos como "contaminaciones de la optimización de los
motores de búsqueda", alteran los resultados de los motores de
búsqueda para dirigir el tráfico de usuarios a sitios fraudulentos.
Según un informe de Google, hasta un 1,3% de los resultados
de las búsquedas realizadas en su motor están infectados. Las
búsquedas contaminadas que producen este tipo de ataques
llevan a los usuarios a visitar páginas maliciosas.
actualidad, los cibercriminales pueden permitirse
realizar inversiones porque saben que, con casi total
seguridad, les saldrán rentables. Los cibercriminales
obtienen beneficios con estos ataques de varias formas:
• Mediante la venta de kits para el aprovechamiento
de vulnerabilidades (o de funcionalidades utilizadas
en kits) a otros criminales. Los exploits son
programas, conjuntos de datos o secuencias de
comandos que aprovechan fallos o vulnerabilidades
para provocar comportamientos inesperados del
software. A menudo, también permiten hacerse con
el control del sistema informático.
• Mediante la inyección de código en sitios legítimos
El alcance de estos ataques no debe subestimarse, ya
para desviar el tráfico de usuarios a otros sitios
que están dirigidos a todo tipo de sitios, desde sitios
peligrosos. Al ser capaces de controlar los desvíos
del gobierno hasta instituciones educativas, conocidos
del tráfico con el código inyectado, pueden "vender
portales de noticias, blogs y redes sociales.
tráfico".
• A través de las cargas de los programas maliciosos
Dado que los proveedores de seguridad ofrecen
instalados. Los cibercriminales roban datos o crean
soluciones para la detección de este tipo de código
redes de bots (que se ejecutan de forma automática
malicioso, los atacantes lo modifican constantemente
para enviar spam de forma anónima o realizar
para evitar que los atrapen. Los cibercriminales utilizan
ataques de denegación de servicios) para obtener
el código JavaScript como "pegamento" en este tipo
de ataques web por las posibilidades que ofrece para
ocultar o camuflar el código y la carga.
beneficios.
• Aprovechando información de vulnerabilidades
de día cero. Los criminales pagan grandes sumas
de dinero por tener acceso a información sobre
vulnerabilidades de día cero. Los cibercriminales
utilizan y comparten los exploits de día cero antes
de que el desarrollador del programa objetivo tenga
conocimiento de la vulnerabilidad.
Monográficos de Sophos. Diciembre de 2010
4
Por qué han recurrido los cibercriminales a los ataques de
JavaScript malicioso
• De hecho, el negocio de algunos cibercriminales
• El sitio web de la empresa se vea comprometido: los
consiste en detectar vulnerabilidades nuevas y
cibercriminales pueden comprometer los sitios web
vender la información correspondiente en el mercado
administrados y, como resultado, los clientes que los
negro.
visiten se verán expuestos al código malicioso.
• Mediante el abuso de programas de marketing de
afiliación con tráfico ilegítimo. Desde la aparición del
Ambas situaciones provocan grandes repercusiones
marketing de afiliación, a través del cual los afiliados
en la empresa, tanto en lo relativo a los costes, como
obtienen beneficios por atraer clientes al sitio web
a la productividad, la reputación de la compañía o
de la empresa, el control de estas actividades ha
la seguridad de los datos. Cuando los usuarios son
sido escaso. Los afiliados con pocos escrúpulos han
víctimas del malware, el departamento informático
utilizado correo no deseado, anuncios falsos, clics
debe invertir tiempo y dinero en restablecer el
forzosos (para instalar cookies de seguimiento en los
rendimiento de los equipos. Además, la productividad
equipos de los usuarios), programas publicitarios y
de los usuarios se resiente y pueden dañarse muchos
otros métodos para dirigir el tráfico a los sitios de los
archivos.
patrocinadores.
Pero las repercusiones de las infecciones van más
Las tendencias de las actividades de los cibercriminales
allá: la integridad de los datos también puede verse en
muestran un aumento en el uso de varias cargas
peligro. Una vez que se ejecutan en los equipos de las
(diferentes tipos de malware) para la obtención de
víctimas, muchas familias de programas maliciosos
datos. Además, también han aumentado los ataques
permiten que los cibercriminales accedan de forma
específicos con objetivos concretos. Por ejemplo,
remota a los sistemas para robar datos o infectarlos con
los delincuentes atacan de forma específica a un
otros tipos de malware.
empleado del departamento de recursos humanos de
una empresa para robar datos y obtener información
Cuando la víctima es el sitio web de la empresa,
del resto de trabajadores. Después, diseñan un ataque
los clientes no culpan a los cibercriminales de las
con la información obtenida, lo que aumenta las
infecciones resultantes, sino a la propia empresa, lo
posibilidades de que las víctimas caigan en la trampa.
que puede afectar a la reputación corporativa, generar
publicidad negativa y provocar la pérdida de confianza
Cómo afectan estos ataques a las empresas
por parte de clientes, socios e inversores.
El código JavaScript malicioso puede afectar a
Estas son las razones por las que "los malos" utilizan
las empresas de varias formas. Los responsables
JavaScript malicioso y por las que "los buenos" deben
informáticos deben mantenerse alerta y protegerse
protegerse. En la 2ª parte, analizaremos las soluciones
contra este tipo de ataques para evitar, sobre todo, que:
que ayudan a conseguirlo.
• Los usuarios se conviertan en víctimas del malware:
los equipos administrados pueden infectarse a través
de descargas automáticas, resultados contaminados
de búsquedas y otros tipos de ataques.
Monográficos de Sophos. Diciembre de 2010
5
Por qué han recurrido los cibercriminales a los ataques de JavaScript malicioso
Recursos adicionales
Malware con moca ofrece información técnica detallada sobre los ataques de JavaScript malicioso más recientes.
Fuentes
Informe de amenazas de seguridad de Sophos, primer semestre de 2010
http://www.sophos.com/security/technical-papers/modern_web_attacks.html
http://www.sophos.com/security/technical-papers/malware_with_your_mocha.html
http://www.sophos.com/security/technical-papers/sophos-securing-websites.html
http://nakedsecurity.sophos.com/?s=malicious+javascript&x=0&y=0
Boston (EE.UU.) | Oxford (Reino Unido)
© Copyright 2010. Sophos Limited. Todos los derechos reservados.
Todas las marcas registradas pertenecen a sus respectivos propietarios.
Documentos relacionados
Bronzino1
Bronzino1
Hackers y el comercio electrónico
Hackers y el comercio electrónico
Seguridad en el Smartphone
Seguridad en el Smartphone
WordPress.com sufre el mayor ataque de su historia
WordPress.com sufre el mayor ataque de su historia
V epistemológica
V epistemológica
Cuestionario de antecedentes médicos Gota
Cuestionario de antecedentes médicos Gota
Declaración Universal de los Derechos Humanos
Declaración Universal de los Derechos Humanos
Seguridad Informática I Proyecto: Ataques Todos Vs. Todos 1. Se
Seguridad Informática I Proyecto: Ataques Todos Vs. Todos 1. Se
Colombia ocupa el sexto lugar en Latinoamérica de los países que
Colombia ocupa el sexto lugar en Latinoamérica de los países que
Descargar
Anuncio
Anuncio