Alertan del aumento del malware autoinstalable

Detalles: Published: 15 Outubro 2009

Estadísticas e informes

El malware no acecha únicamente desde archivos que circulan por correo electrónico o redes P2P o en páginas de apariencia sospechosa. La mayoría de los internautas son conscientes de los riesgos que existen en la Red, pero por lo general piensan que los ataques no vendrán de sitios web en los que confían.

Sin embargo, el fabricante de software de seguridad G Data alerta sobre el auge del malware autoinstalable, que mediante descargas dirigidas (drive-by downloads) llega al PC del usuario sin que éste lo note ni interactúe en ningún momento, incluso a través de sitios web de confianza y buena reputación.

En los últimos meses, las descargas dirigidas han desplazado al e-mail como método principal de distribución de malware. ¿Pero cómo se las ingenian los cibercriminales para utilizar reputados sitios para ocultar y difundir el código malicioso? Ralf Benzmüller, responsable de los laboratorios de seguridad de G Data, explica cuáles son los tres métodos más populares:

"Los cibercriminales que distribuyen malware a través de sitios web secuestrados se aprovechan de tres grandes debilidades: contraseñas débiles, agujeros de seguridad o ataques de script. El acceso a los servidores web a menudo se efectúa a través de contraseñas débiles, como admin123, que pueden ser quebrantadas en apenas unos segundos mediante ataques automáticos y aleatorios”, afirma Benzmüller.

Con frecuencia se explotan los puntos débiles de programas en el servidor web, como los que están detrás de las tiendas online, los sistemas de gestión de contenido (CMS) u otro software para crear foros y blogs. “Normalmente, estos programas se ejecutan en configuraciones estándar o no son actualizados con la frecuencia deseable, por lo que presentan numerosos agujeros de seguridad. Basta con recurrir a un buscador para localizar con rapidez estos equipos vulnerables, a los que se ataca de forma automática para hacerse con su control. Por este motivo, los webmasters y los responsables del servidor web deben parchear de inmediato su software en cuanto esté disponible una actualización de seguridad”, continúa Benzmüller.

El tercer método al que recurren los atacantes son los ataques de script o las inyecciones SQL, por ejemplo en formularios web en los que las entradas de usuario no han sido filtradas.

Ante esta amenaza, ¿cómo se comportan los responsables de tales sitios web? G Data contactó con los proveedores de los servidores que habían estado distribuyendo cantidades masivas de malware, y observó que el 45% de los webmasters tardó varias semanas en eliminar estos “aspersores” de código malicioso de sus sitios web, eso en el caso de que lo finalmente lo hiciesen.

Como parte del programa Malware Information Initiative, los expertos de G Data contactaron regularmente con los operadores de servidores vulnerables. De ellos, sólo el 55% reaccionaron en menos de una semana, un 20% tardó entre una y dos semanas, otro 20% entre 3 y 4 semanas y un 5% no reaccionó en absoluto.

Dada la cantidad cada vez mayor de ataques de este tipo, G Data recomienda a los operadores web que analicen su servidor en busca de virus y que respondan con la mayor rapidez posible si detectan cualquier infección. Siguiendo los siguientes consejos, los atacantes lo tendrán mucho más difícil:

1. Instalar las actualizaciones de seguridad de cualquier aplicación web, para cerrar los agujeros críticos. El tiempo entre la disponibilidad de un parche y un ataque puede ser extremadamente corto.
2. Un buen antivirus no puede faltar en ningún ordenador ni, por supuesto, en ningún servidor web. Hay que asegurarse de que cuenten con la versión de firmas de protección más reciente.
3. Los webmasters deben analizar regularmente una versión offline de su sitio web. De esta forma, el malware camuflado será detectado fácilmente.
4. Si se produce alguna infección, los administradores web deben cambiar sus contraseñas de acceso inmediatamente. Esto evitará que los hackers sigan atacando el servidor al día siguiente.
5. Los usuarios deben asegurarse de que su navegador y sus plug-ins estén permanentemente actualizados. Los programas anticuados suelen contener agujeros de seguridad de los que los atacantes se valen para introducir código malicioso.
6. Los usuarios de PC deben utilizar una protección antivirus que compruebe constantemente el contenido de los sitios web en busca de malware. Así, el código malicioso se detendrá antes de que alcance al navegador.