Nuevo tipo de ataques on line

Un código malicioso se adueña de los parámetros del ruteador de banda ancha de la víctima

Hace casi un año, Symantec puso sobre la mesa el concepto de un ataque llamado "Drive-by pharming". En este tipo de ataque, todo lo que la víctima debía hacer para ser afectada era mirar al código HTML o JavaScript del atacante, el cual estaría colocado en una página Web o dentro de un correo electrónico.

Una vez hecho esto, el código malicioso del atacante se encargaría de cambiar los parámetros del DNS del servidor en el ruteador de banda ancha de la víctima (sin importar si éste es alámbrico o inalámbrico).

De ahí en adelante, las futuras solicitudes de DNS serían contestadas por el servidor DNS del atacante, lo que significa que, efectivamente, el atacante controlaría la conexión de Internet de la víctima.

Cuando Symantec descubrió el concepto de este ataque, lo hizo de manera teórica ya que hasta ese entonces no se había detectado un ejemplo de este ataque, pero  hoy, el ataque es una realidad ya que recientemente Symantec detectó que los atacantes pusieron en marcha una versión básica de "Drive-by Pharming".

En el ejemplo real detectado por Symantec, los atacantes colocaron el código malicioso dentro de un correo que parece una tarjeta electrónica (e-card) supuestamente proveniente del sitio gusanito.com.

Dicho correo contiene una liga HTML que genera un requerimiento HTTP GET que afecta ciertos modelos de ruteadores populares en México.

De esta manera, la solicitud GET modifica los parámetros DNS para que cuando el usuario intente entrar al sitio Web de una institución financiera (entre otros sitios Web) el ruteador, en lugar de llevarlo al sitio legítimo de dicha institución, lo lleva hacia el sitio Web del atacante (que es muy parecido al original) implicando que, al realizar cualquier transacción en el sitio, el atacante podría robarle a la víctima sus datos de acceso.

Cuando Symantec habló por primera vez del concepto de ataque "Drive-by Pharming" hace casi un año, se pensó que podría ser algo de gran impacto, por lo que se alertó a los usuarios de Internet antes de que esto se volviera una realidad.

Sin embargo, parece que la primera muestra real de "Drive-by Pharming" de la que estamos siendo testigos es más poderosa que el concepto original que vislumbró Symantec.

Esto es porque el modelo del ruteador afectado en este ataque tiene más vulnerabilidades de las previstas, lo que hace el ataque mucho más potente.

En la visión original, el ataque de "Drive-by Pharming" requería que el atacante adivinara la contraseña del ruteador de la víctima. Como muchas personas nunca cambian su contraseña o no saben de su existencia, esta medida podría no ser un impedimento para el atacante.

Sin embargo, simplemente cambiando la contraseña predeterminada por una difícil de adivinar hubiera sido suficiente para proteger al usuario.

En el caso de los ruteadores afectados en la muestra detectada por Symantec, esto no sucede, ya que dichos ruteadores no requieren que el atacante adivine la contraseña.

Ahora que las primeras señales del ataque se han detectado, es probable que broten más. Para sorpresa de muchos, pasó casi un año desde la primera vez que Symantec señaló que el "Drive-by pharming" podría representar un ataque y la fecha en que detectamos la primera muestra, pero desafortunadamente, la presencia de esta variante es un claro signo de que los atacantes continúan evolucionando sus tácticas y seguirán haciéndolo para lograr sus objetivos.

Por ello, es importante tomar las medidas necesarias y tener presentes las mejores prácticas para evitar convertirnos en víctimas.

Recomendaciones de Seguridad

Symantec recomienda cambiar la contraseña predeterminada por su ruteador por una difícil de adivinar.

Para muchos modelos de ruteadores, esto protegerá al usuario por lo que se sugiere elegir una contraseña complicada porque eso provee un mayor margen de seguridad.

Sin embargo, algunas personas evitan las contraseñas complicadas por temor a olvidarlas, pero esto no debe ser así en este caso ya que si se llegara a olvidar la contraseña, basta con resetear el ruteador lo que devolvería la configuración original, incluyendo la contraseña predeterminada.

Por otra parte, Symantec recomienda resetear el ruteador antes de cambiar la contraseña.

Este paso asegura que si el usuario ya es una víctima, evite seguirlo siendo, ya que los parámetros del servidor DNS también se resetean.

Adicionalmente, si el usuario se ha dado cuenta de que ya es una víctima, se recomienda incluir como medida adicional, revisar los sitios Web que ha visitado recientemente y asegurarse de cambiar sus contraseñas.

Y si ha realizado alguna transacción bancaria o con tarjeta de crédito a últimas fechas, se recomienda avisar de inmediato a las compañías involucradas.

Como recomendación general, Symantec sugiere navegar de manera segura en Internet evitando visitar sitios sospechosos, además de tener precaución al dar clic en ligas que le envíen otros usuarios, aunque sea alguien en quien confía.

Además, se debe ser muy cuidadoso con los correos. Recordemos que en este caso, el código malicioso identificado en el ataque es distribuido por correo, así que si no reconoce al remitente o el correo parece "basura", bórrelo sin abrirlo. No deje que la curiosidad le gane ya que las consecuencias pueden ser graves.

Finalmente, es una buena idea contar con una suite de seguridad en su computadora que incluya Anti-Virus, Anti-Spyware, firewall a nivel de la PC, detección y prevención de intrusos, así como capacidades Anti-phishing.

Los ataques "Drive-by pharming" pueden ser usados para dejar software malicioso instalado en su computadora o comprometer la integridad de las transacciones en línea, por eso se recomienda usar la alguna solución de seguridad.

Ante cualquier duda o información adicionales que precise por favor consultarnos.