Un abrevadero es el lugar, pilón o similar, donde los animales se acercan a beber. Por remota que parezca la conexión con la ciberseguridad, hay conexión: en la naturaleza, los depredadores están siempre al acecho y vigilan al animal que se acerca a beber al abrevadero. Cuando el animal está bebiendo, el depredador ataca. Del mismo modo, los ataques de abrevadero o watering hole attacks acechan en sitios web legítimos que las víctimas visitan con frecuencia, esperando una oportunidad para infectar esos sitios con malware, y a la vez infectar a sus víctimas.
En un ataque de abrevadero, los ciberdelincuentes analizan el tráfico de la compañía que quieren atacar, prestando especial atención a los sitios web que los empleados visitan regularmente. De ese modo, crean el perfil de una víctima potencial y se preparan para atacar. Es un método tan sigiloso que suele pasar desapercibido para las víctimas, por eso es ideal para acceder a redes corporativas, donde se infiltra siguiendo estas fases:
- Fase 1: El atacante investiga los hábitos de la víctima: vigila a los empleados, obtiene información sobre sus hábitos, identifica las páginas que visitan habitualmente (previsión del tiempo, webs de finanzas, intranet…).
- Fase 2: Aprovechando alguna vulnerabilidad del sistema de la víctima, el ciberdelincuente inyecta código malicioso en una página que visite habitualmente.
- Fase 3: Cuando la víctima accede al sitio o realiza alguna acción en él (por ejemplo, descargar un pdf), se compromete el sistema de la víctima. El malware puede entregarse e instalarse sin que la víctima se dé cuenta (ataque “drive by”) pero, dada la confianza que probablemente tenga el empleado en el sitio-abrevadero, también puede ser un archivo que descargue conscientemente, pero sin darse cuenta de lo que realmente contiene.
Los ciberdelincuentes utilizan este vector de ataque para robar información personal, datos bancarios y propiedad intelectual, así como para obtener acceso no autorizado a sistemas corporativos sensibles. Los ataques de abrevadero tienen un alto índice de éxito: al dirigirse a sitios web legítimos que no están incluidos en la lista negra (sitios bloqueados), pueden incluso desplegar ataques de día cero que los antivirus y sistemas de seguridad no sean capaces de detectar. Por tanto, estos ataques son una seria amenaza para empleados y organizaciones. Algunas medidas que ayudan a protegerse son:
- Usar la barra de navegación para escribir las direcciones URL es mejor no utilizar los enlaces que aparezcan por ejemplo en correos electrónicos.
- Evitar abrir archivos descargados que consideremos sospechosos.
- Usar dispositivos de confianza para operaciones confidenciales.
- Cambiar las contraseñas periódicamente y no usar la misma para todo. No memorizarlas automáticamente en el navegador.
- Usar solo los navegadores autorizados por la organización.
- Mantener el sistema operativo actualizado.
- ¡No bajar la guardia! Los empleados tienden a relajar sus defensas en las webs que visitan frecuentemente, por eso es más fácil que sean infectados por esta vía. Siempre hay que fijarse bien en la URL de la página.
- Ojo a los cambios: fijarse si en el sitio web hay cambios, como un cambio en la tipografía, la redacción, logotipos extraños o enlaces con URL sospechosas. Hay que desconfiar de cualquier diferencia, de algo distinto que llame la atención, o si de repente recibimos un mensaje inesperado de la página pidiendo que hagamos algo.
- Con el antivirus no basta: en el ataque de abrevadero, como los ciberdelincuentes eligen sitios legítimos autorizados por los sistemas de seguridad de la empresa, los antivirus no pueden detectar la intrusión hasta que es demasiado tarde. Usa la prudencia, el sentido común y la desconfianza como norma.
