Creada con IA
De manera habitual la propaganda a través de las comunicaciones por diversas vías ha crecido en los últimos tiempos, si bien una buena parte de ella son archivos sin segundas intenciones que son catalogados como SPAM, existe otro grupo, que si tiene intenciones nocivas.
La explicación a este problema recurre en múltiples ocasiones a cuestiones con un elevado nivel de tecnicismo, que pueden mermar la atención de un lector no familiarizado con el tema. La idea no es atiborrar de argumentos, por el contrario es abrir el abanico de cuestiones que pueden incidir en el compromiso de la seguridad desde estos tipos de archivo.
Para cumplir este objetivo los ciberdelincuentes se valen de manera habitual de algunos tipos de archivos que les permiten enmascarar sus fines. Entre estos destacan los archivos comprimidos en formatos ZIP y RAR, los documentos de Microsoft Office, las imágenes de discos en formato ISO o IMG y los que presentan formato PDF.
El primer grupo de archivos que requiere atención son los que presentan formato ZIP o RAR porque contribuyen en primer lugar a enmascarar en su interior códigos maliciosos.
Los ciberdelincuentes suelen utilizar los archivos comprimidos para evadir los mecanismos de detección de los programas antivirus y los cortafuegos de las redes por el hecho de que algunos de ellos no realizan el control de este tipo de ficheros en profundidad. Es común que la carga maliciosa sea montada en este grupo en forma de .bat, .ps1 o .js en a través de ejecutables como los .exe y .dll que se activan cuando se produce la descompresión.
La ingeniería social como mediador para el phishing es otro mecanismo utilizado, cuando los ciberdelincuentes distribuyen archivos ZIP o RAR con nombres engañosos que pueden acompañar de términos como “urgente” o “confidencial” además de estar comprimidos como vía para doblegar la voluntad de las personas para que sean descargados y al descomprimirse liberan keyloggers, ransomware o spyware.
Otra vertiente es la explotación de vulnerabilidades de herramientas como WinRAR o 7-Zip. Recientemente se alertó, a través de publicaciones en las redes, sobre brechas en la versión 7.11 de WinRar que permiten la infección. También se ha mencionado que el propio Windows, han tenido vulnerabilidades en el pasado que permitían la ejecución remota de código o desbordamientos de búfer.
Vinculado también a estos archivos están las bombas ZIP que desarrollan su actividad a través de ataques de descompresión xxplosiva en las que un archivo ZIP es diseñado para consumir una gran cantidad de recursos al descomprimirse hasta ocupar incluso varios terabytes en medios de almacenamiento. Esto desencadena la denegación de servicio (DoS) en servidores o equipos individuales.
Pueden ser fuente de problemas los archivos comprimidos que son protegidos con contraseñas débiles que pueden ser fracturadas o dificultar los análisis. Esto se vincula también a la filtración de datos, que permite a los atacantes usar archivos comprimidos para robar información sensible antes de enviarla a servidores remotos a partir de una nueva compresión.
Para mitigar los efectos de este tipo de agresión es esencial que los antivirus realicen escaneos de precisión a los archivos comprimidos antes de descomprimirlos, a esto debe añadirse la restricción de la descarga de archivos ZIP o RAR en redes corporativas, junto a la actualización continua del software de compresión para reducir vulnerabilidades y junto a ello usar herramientas del tipo sandboxing como entornos aislados para análisis. Pero lo primero a tomar en cuenta, es la educación de los usuarios para prevenir la apertura de archivos adjuntos sospechosos.
De estas ideas se deduce que los formatos ZIP y RAR son útiles, pero su utilización deficiente puede convertirlos en vectores de ataque. Por ello, la conjugación de la concientización de usuarios, la potenciación tecnológica y las políticas de seguridad son la clave para minimizar riesgos.
Los documentos de Microsoft Office (Word, Excel, PowerPoint, …) pueden comprometer la seguridad porque permiten la ejecución de macros con código VBA (Visual Basic for Applications) y estas pueden ser manipuladas incrustando en ellas programas malignos. También debe mencionarse que los programas que integran esta suite ofimática ha mostrado históricamente vulnerabilidades del tipo “día cero” que permiten la ejecución de un código arbitrario sin interacción del usuario.
Se vinculan al Microsoft Office aspectos relacionados con el uso de OLE (Object Linking and Embedding) y DDE (Dynamic Data Exchange) que pueden ser abusadas para ejecutar comandos o scripts maliciosos a partir de incrustar un script PowerShell que descarga programas maliciosos desde un servidor remoto. No puede descartarse el uso del phishing y ingeniería social vinculada a documentos como tampoco el uso de enlaces externos y actualizaciones automáticas que pueden pueden contener los documentos para enlazar imágenes o plantillas que, al cargarse, exponen la dirección IP o descargan el código maligno.
Son también una vía utilizada los controles ActiveX y sus complementos, que pueden ser explotados para ejecutar código a partir de privilegios elevados, tampoco debe olvidarse los datos que pueden ser filtrados mediante PowerShell o conexiones HTTP ocultas que son activadas por un script.
Los documentos de Office son poderosos vectores de ataque debido a su flexibilidad. Para un usuario normal, además necesaria educación de usuarios, existen dos medidas esenciales a tomar en cuenta en la mitigación de las causas de esta afectación a la seguridad. La primera, deshabilitar las macros o al menos restringirlas solo a firmas digitales confiables y en segundo lugar mantener actualizada esta suite para parchear vulnerabilidades conocidas.
El tercer tipo de archivos son los PDF. Estos pueden contener varios peligros ocultos que contribuyen al compromiso de la seguridad de un dispositivo y los datos. Un documento de esta tipología puede contener scripts maliciosos creados en JavaScript o a través de macros, que se ejecutan al abrir el archivo o permiten descargar troyanos, ransomware o spyware sin que el usuario lo note.
El uso de Adobe Reader o Foxit sin que medie una actualización puede desencadenar una infección aprovechando fallas. También debe mencionarse, que algunos documentos PDF pueden ejecutar comandos en el sistema si el lector tiene, por ejemplo, permisos administrativos en una cuenta para el trabajo cotidiano. A esto se añade la posibilidad de archivos peligrosos incrustados, que pueden ser ejecutables (.exe, .bat) o que se hereden desde un documentos Office infectado a través de las macros.
No debe omitirse la posibilidad de la falsificación de contenidos a partir de la presentación de un documento que pretende y parece ser legítimo pero esconde contenido malicioso.
De esto se desprende que ante la recepción de un archivo PDF es necesario verificar el remitente y mantener precaución extrema. Además se debe utilizar software como el Adobe Reader en modo protegido o alternativas como SumatraPDF, que siempre deben estar actualizadas. Además el deshabilitar el JavaScript del lector de PDF reduce los riesgos de que se ejecute un programa malicioso. Finalmente si bien es conveniente revisar con un antivirus todos los archivos recibidos, más conveniente aun es evitar las descargas de PDF desde sitios desconocidos.
Finalmente los archivos ISO e IMG, son imágenes de disco que pueden contener sistemas operativos, software o datos, pero también pueden ser utilizados con fines malignos. En ocasiones se incluyen camuflados en su contenido, virus, troyanos, ransomware o spyware y al montar la imagen (ISO) o grabarla (IMG), la carga maliciosa puede ejecutarse automáticamente si el sistema carece de protección.
Si se añade que existen aplicaciones, que emulan con una herramienta ISO, simulando ser un dispositivo de almacenamiento legítimo o que explotan vulnerabilidades en el proceso de arranque, se está en presencia de un problema muy serio.
En este tipo de archivos están presentes otros viejos conocidos como el phishing y la ingeniería social, la existencia de puertas traseras o el uso de keyloggers que pueden robar contraseñas usadas en este proceso.
Es por ello que una buena práctica es el uso de verificación de integridad que deja claro que si el archivo no tiene firma digital o hash de verificación (SHA-256/MD5), podría estar comprometido o haber sido modificado para incluir código malicioso.
También entre las mejores prácticas están el mantener actualizados los sistemas con parches de seguridad que reducen riesgos de explotación de vulnerabilidades, desactivar el “autorun” para evitar la ejecución automática al montar la imagen y utilizar maquinas virtuales (entornos aislados) para ejecutar archivos de este tipo y evitar propagación de efectos negativos.
Es por esta razón que si bien los archivos ISO e IMG son legítimos, su capacidad para emular con dispositivos de almacenamiento y ejecutar código los hace peligrosos si provienen de fuentes no verificadas. Por tanto, la educación de usuarios una vez más es el eje transversal que contribuye a la actuación desde las buenas prácticas y la prevención de incidentes.