• +(34) 91 737 75 48
  • info@ithealth.es

Ataques ‘Watering hole’: en qué consisten y cómo protegerse

Ataques ‘Watering hole’: en qué consisten y cómo protegerse

Los ataques ‘Watering hole’ o ataques de abrevadero, llamados así por la similitud de un depredador acechando a la presa en un abrevadero, son una de las técnicas más sofisticadas empleadas por los ciberatacantes. Su complejidad es directamente proporcional a su alta tasa de éxito y eficiencia, siendo uno de los ataques más difíciles de detectar y detener que acechan actualmente a las compañías.

¿En qué consiste?

Este tipo de ataques están enfocados a compañías, con altos niveles de seguridad, en las que los usuarios visitan asiduamente sitios web de confianza relacionados con el contenido de la organización. Estos sitios web, han sido previamente estudiados e infectados por los atacantes, quienes suelen realizar primero un perfil de las potenciales víctimas llevando a cabo un estudio de sus costumbres. Una vez el empleado de la compañía objetivo visite el sitio web infectado, como suele hacer a menudo, infectará su equipo con malware que permitirá a los atacantes tomar el control del equipo del empleado y poder así espiar y robar información de la compañía.

Fundamentos de éxito en el ataque

Estos ataques basan una gran parte de su éxito en la confianza, ya que los usuarios que visitan estos sitios asiduamente, bajan el nivel de atención en seguridad al ser sitios que visitan diariamente. Estas webs generalmente se encuentran incluidas, incluso en listas blancas de navegación por los equipos de seguridad informáticos de la empresa.

Para evitar la detección por los sistemas de seguridad corporativos, los ciberdelincuentes suelen emplear vulnerabilidades de día 0, es decir, que aún no se han comunicado a empresas de seguridad informática y fabricantes para poder crear herramientas de detección y mitigación.

Además, esperar a las potenciales víctimas en la web de terceros, les permite mantener un perfil bajo, sin hacer campañas de malware, lo que a su vez les hace más invisibles y difíciles de detectar y rastrear.

¿Cómo funciona?

Una vez que se ha fijado el objetivo del ataque, los ciberdelincuentes, centran sus esfuerzos en observar el tráfico de la compañía a atacar, haciendo especial hincapié en aquellos sitios visitados asiduamente y recogiendo la mayor información posible para crear un perfil concreto de la víctima.

Cuando el usuario seleccionado visita la web de confianza, los ciberatacantes, tratan de explotar las vulnerabilidades de su navegador y al mismo tiempo, le redirigen a un servidor malicioso donde podrán instalarle un malware que permita el control del equipo.

Medidas de protección

Para las compañías objetivo de estos ataques resulta especialmente complicado detectar y mitigar estas situaciones, pues dependen de webs de terceros sobre las que, en ocasiones, no tienen control. En otros casos donde las webs son corporativas, debe prestarse especial atención a las vulnerabilidades del sitio, realizando continuas auditorias, manteniendo el gestor de contenidos actualizado y creando las paginas mediante prácticas seguras de desarrollo.

Por la parte de los usuarios, los equipos de TI, deben prestar atención a la seguridad implementada en los distintos tipos de navegador empleados y en las continuas actualizaciones del software de sus equipos.

Por otro lado, tampoco debemos olvidar bloquear la ejecución automática de lenguajes de scripting en los navegadores.

Además, si la compañía implementa restricciones de navegación, es buena idea revisar las listas blancas de vez en cuando para comprobar que apunten a los sitios adecuados.

Y por último, no debemos olvidar la concienciación a los empleados y hacerles partícipes de este tipo de ataques. Esto hará que los usuarios estén alerta ante cualquier actividad sospechosa o fuera de lo común para que puedan notificarlo rápidamente a los departamentos informáticos y que puedan tomar medidas lo antes posible.

mrcescar

A %d blogueros les gusta esto: