miércoles, 25 de octubre de 2017

Infectado sin ver porno ¿te lo puedes creer?

“Eso es mentira” sería la respuesta inmediata que daríamos a esa pregunta, y no dudando respecto a que se haya infectado el dispositivo sino a la segunda parte. Somos así de retorcidos: “cree el ladrón…”
Pero desafortunadamente sí es posible que nos pase por el mero hecho de acceder a una página web. El último ejemplo lo tenemos con #BadRabbit, un ransomware que está haciendo sus estragos allá por Rusia y Ucrania principalmente; pero que no tardará mucho en llegarnos, bien sea tal cual o con adaptaciones “locales”.
Pero esto ¿cómo puede pasar?
Con el elevado uso de las Redes Sociales y las aplicaciones Web hay cada vez un mayor número de usuarios de perfil “despreocupado”, por ser suaves, lo que eleva el potencial número de clientes y dispara las probabilidades de éxito de la infección.
Y sí, es cierto que no basta sólo con que los usuarios sean unos despreocupados, no; los malos también hacen su parte, cada vez mejor: dan un excelente servicio de atención al cliente.
El cliente “necesita” ver con urgencia ese video que le ha llegado vía enlace que le manda un conocido por correo electrónico… ¡y el reproductor no está actualizado! Menos mal que “los informáticos” se lo curran y piensan en todo, y me ofrecen descargar la actualización (en este caso la de FlashPlayer). Por supuesto la descargo, instalo y… ¡veo el vídeo! Que al final no era para darse tanta prisa, pero eso no lo sabía antes de verlo.
Claro, que tampoco sabía que no sólo iba a descargar una ¿actualización? sino algo más que ha llegado para quedarse. Y para traer amigos.
Esos amigos, amigotes más bien, tienen nombre: exploit kit. Se instala y hace un escaneo completo del sistema para recabar una serie de datos: sistema operativo, aplicaciones, estado de las actualizaciones… Un chequeo exhaustivo y en profundidad cuyos resultados van a parar a manos de los malotes, quienes se encargarán de analizarlos en busca de agujeros de seguridad que les van a brindar una puerta abierta y ruta directa a la administración de nuestro dispositivo, con lo que ello conlleva.
Una vez abierta la puerta por el exploit, éste “hace un pedido”: Oye, C&C, mándanos el payload "X" que es el que peta la aplicación "Y" que en este equipo está sin parchear y lo hace vulnerable.
El C&C, en función de la misión que tengan previsto encomendarle a la máquina infectada, obediente (recordad que es un servicio de atención al cliente de primera) manda bien un programita de control remoto que se instalará y no nos enteraremos (para convertir el ordenador en otro más de una red de zombies que activar cuando quieran), bien ese otro que se va a encargar de cifrar todos los archivos de datos (texto, imágenes…) que encuentre para pedir el rescate correspondiente. Por supuesto, en BitCoins.
Vaaale. Esto nos ha pasado por abrir un correo electrónico de un conocido que venía con un link (malicioso el), pero hemos comenzado hablando de “visitar páginas web”, y un correo electrónico no lo es… ¿o sí? Otro día lo discutimos.
El proceso de infectarnos por el mero hecho de visitar una página web “legítima” difiere un poco respecto al de hacerlo por medio de un correo electrónico, si bien comparten resultado final.
Al lío. Y para ello comenzamos con un poco de teoría básica, muy elemental.
¿sabemos qué es un navegador de Internet? Sí, el “explorer” ese del ordenador, o el “Chrome” del smartphone o el mozilla ese que dicen que es el mejor… Bueno, no vamos mal, pero ¿sabemos qué hace? Aparte de tenernos enganchados cienes de horas lo que hacen es “interpretar” el contenido de un fichero que contiene datos, instrucciones y alguna otra cosita más tal que todo ello junto resulta ser una página web: leen ese “lo-que-sea.html”, lo interpretan y luego nos muestran parte de su contenido en la pantalla del dispositivo. Sí, parte, porque hay otras partes que el navegado lee, interpreta y NO muestra ni nos dice si ha hecho algo o no, porque esas partes contienen unas instrucciones, unas órdenes, que ejecuta y cuyo resultado no tiene por qué aparecer en la pantalla.
Ese código que viene escrito dentro del de la página web puede ser del tipo PHP, que se ejecutará en el servidor desde el que se ha descargado la página web y hará lo que nuestro navegador le haya “pedido”; o puede ser del tipo JavaScript, que es nuestro navegador, nuestro equipo quien lo interpreta y ejecuta lo solicitado. En cualquier caso, nuestro ordenador, tablet, móvil… será debidamente escaneado y los datos considerados importantes serán exportados (exfiltrados que dirían los técnicos) y guardados para un posible uso posterior. A partir de aquí, nuestro dispositivo, nuestros datos les pertenecen, y harán con ello cuanto les apetezca.
Te has pasado dos pueblos, Pedro: ¿cómo es posible que el administrador de una página web no controle el código que sube? Bueno, ya sabéis que hay muchos que somos “apañaos”, o que tenemos “amigos informáticos” o, incluso, contratamos informáticos que se anuncian en farolas y semáforos y te hacen una página web por casi nada al tiempo que te proveen de Internet gratis... De estos últimos hay que huir. Si necesitas una página web para tener presencia en Internet búscate un buen profesional (@JFS_1969, por ejemplo), y pagas lo que vale hacerla y mantenerla… ¡sin publicidad!
Porque esa publicidad que alquilamos para tener “colgada gratis” la página es otra forma de infectar ordenadores por el mero hecho de que la página sea mostrada (interpretada, ejecutada) por el navegador en pantalla.
¿Cómo? A grosso modo, esos anuncios que se mueven, esas imágenes que cambian… no son “simplemente” fotos -salvo las del diario para magos que leen Harry Potter y compañía- sino que llevan “incorporadas” unas instrucciones que hacen que salgan en carrousel, que se oscurezcan, que ejecuten código en nuestro ordenador -una vez más- sin que nos enteremos… El formato de imágenes SVG da mucho juego ¿verdad @RaulRenales?
Con el tema de la publicidad en las páginas web hay un riesgo, y es que los “huecos” tal vez los gestione el webmaster, pero la publicidad está “subcontratada”, delegada. ¡Menudo coñazo echarse a la calle para buscar quien page! De eso que se encargue otro. Esto no significa que subcontratar el servicio o que todos los anuncios subcontratados sean malos, por supuesto que no; pero que los malotes tienen paciencia y comienzan colocando anuncios legítimos y haciéndose un nombre para después “torcer” sus intenciones cuando por fin consiguen acceso a huecos de publicidad en páginas “interesantes” bien por volumen de visitas bien por su público objetivo, es un hecho. Y, claro está, el código dañino no lo dejan ahí por los siglos de los siglos sino por periodos cortos de tiempo para que no de tiempo a identificar la fuente. Ya nos encargaremos nosotros -nuestro ordenador zombie- de hacer el trabajo de diseminar la infección ¡que se nos da de maravilla!
Y esto ¿tiene solución?¿hay alguna forma de mitigarlo?
Solución, mientras haya malotes, no hay. Pero sí está en nuestra mano mitigar sus efectos. Y pasa por hacer lo que tantas y tantas veces hemos oído de tantas fuentes: tener el software actualizado, soluciones de seguridad -que hay a porrillo- y la fundamental: pensar antes de hacer clic, antes de facilitar datos personales “sin importancia” alegremente en cualquier sitio. Con estas tres simples reglas tendremos muchas probabilidades de no ser parte de la estadística.
Así que la próxima vez que te digan “se me ha infectado el ordenador pero no es por ver porno” puedes creer a tu contertulio, porque nosotros tampoco vemos porno y nos hemos infectado ¿verdad?