Qué es un Exploit. Tipos, Cómo atacan Y Cómo protegerse

En un momento del pasado no tan lejano, los exploits fueron responsables de entregar el 80 por ciento del malware a los sistemas de las personas. Pero los exploits parecen estar experimentando una pausa hoy en día.

¿Significa esto que se han ido para siempre y que todos podemos bajar la guardia? ¿O es simplemente la calma antes de la tormenta? Destruyamos esta sigilosa amenaza para que no sólo conozcas a tu enemigo, sino que también estés preparado adecuadamente en caso de que los ataques de exploits vuelvan.

También puedes leer: ¿Qué Es Un Gusano De Red? Tipos Y Ataques Significativos.

¿Qué es un exploit?

Un exploit es un programa o pieza de código que encuentra y aprovecha un fallo de seguridad en una aplicación o sistema para que los ciberdelincuentes puedan utilizarlo en su beneficio, es decir, para explotarlo.

Los ciberdelincuentes suelen enviar los exploits a las computadoras como parte de un kit, o un conjunto de exploits, que se alojan en sitios web o se ocultan en páginas de aterrizaje invisibles.

Qué es un exploit
Qué es un exploit

Cuando aterriza en uno de estos sitios, el kit de explotación toma automáticamente las huellas digitales de tu computadora para ver en qué sistema operativo estás, qué programas y tienes en ejecución, y lo más importante, si alguno de estos tiene fallas de seguridad, llamadas vulnerabilidades. Básicamente, busca en tu ordenador las debilidades a explotar, no como lo hacían los troyanos con el talón de Aquiles.

Después de descubrir las vulnerabilidades, el kit de explotación utiliza su código pre-construido para forzar esencialmente la apertura de las brechas y entregar el malware, pasando por alto muchos programas de seguridad.

Entonces, ¿los exploits son una forma de malware? Técnicamente, no. Los exploits no son malware en sí mismos, sino más bien métodos para entregar el malware. Un exploit kit no infecta tu ordenador. Pero abre la puerta para dejar entrar el malware.

Tipos de exploits

Los exploits pueden agruparse en dos categorías: conocidos y desconocidos, también llamados exploits de día cero.

1. Exploits conocidos

Los exploits conocidos son exploits que los investigadores de seguridad ya han descubierto y documentado. Estos exploits aprovechan las vulnerabilidades conocidas de los programas y sistemas de software (que tal vez los usuarios no han actualizado en mucho tiempo).

Los profesionales de la seguridad y los desarrolladores de software ya han creado parches para estas vulnerabilidades, pero puede ser difícil mantenerse al día con todos los parches necesarios para cada pieza de software; de ahí que estos exploits conocidos sigan teniendo tanto éxito.

2. Exploits desconocidos

Exploits desconocidos
Exploits desconocidos

Los exploits desconocidos, o de día cero, se utilizan en vulnerabilidades que aún no han sido reportadas al público en general. Esto significa que los ciberdelincuentes han detectado el fallo antes de que los desarrolladores lo noten, o han creado un exploit antes de que los desarrolladores tengan la oportunidad de arreglarlo.

En algunos casos, los desarrolladores pueden incluso no encontrar la vulnerabilidad en su programa que condujo a un exploit durante meses, ¡si no años! Los días cero son particularmente peligrosos porque, incluso si los usuarios tienen su software totalmente actualizado, todavía pueden ser explotados, y su seguridad puede ser violada.

¿Cómo atacan los exploits?

Los ciberdelincuentes suelen elegir sitios populares y de buena reputación para obtener el mayor rendimiento de su inversión. Esto significa que los sitios de noticias que lees, el sitio web que utilizas para navegar en el sector inmobiliario o la tienda online donde compras tus libros son todos posibles candidatos. Sitios como yahoo.com, nytimes.com, y msn.com han sido comprometidos en el pasado.

Así que estás navegando por la web, pasando por un sitio web que te encanta, y el sitio comprometido te redirige en segundo plano, sin abrir ninguna ventana nueva del navegador ni avisarte de ninguna otra manera para que puedas ser escaneado en busca de una infección. Basado en esto, eres seleccionado para la explotación o descartado.

¿Cómo se compromete tu sitio web favorito?

De dos maneras: 1. Un código malicioso se oculta a plena vista en el sitio web (a través de un buen y anticuado hacking). 2. Un anuncio que se muestra en el sitio web ha sido infectado. Estos anuncios maliciosos, conocidos como malvertising, son especialmente peligrosos, ya que los usuarios ni siquiera necesitan hacer clic en el anuncio para exponerse a la amenaza.

Ambos métodos, los sitios pirateados o la publicidad maliciosa, te redirigen inmediatamente (apunta tu navegador) a una página de aterrizaje invisible que alberga el exploit kit. Una vez allí, si tienes vulnerabilidades en tu ordenador, se acabó el juego.

El exploit kit identifica las vulnerabilidades y lanza los exploits apropiados para eliminar las cargas maliciosas. Estas cargas útiles (el malware) pueden entonces ejecutarse e infectar tu ordenador con todo tipo de malware. El Ransomware es una de las cargas útiles favoritas de los exploit kits de estos días.

¿Qué software es vulnerable?

En teoría, con el tiempo suficiente, cada software es potencialmente vulnerable. Los equipos de especialistas criminales pasan mucho tiempo desmontando programas para encontrar vulnerabilidades.

Sin embargo, normalmente se centran en las aplicaciones con mayor base de usuarios, ya que presentan los objetivos más ricos. Como todas las formas de cibercrimen, es un juego de números. Los principales objetivos de las aplicaciones incluyen Internet Explorer, Flash, Java, Adobe Reader y Microsoft Office.

¿Cómo se pueden prevenir?

Las compañías de software entienden que los programas que desarrollan pueden contener vulnerabilidades. A medida que se realizan actualizaciones incrementales en los programas para mejorar la funcionalidad, el aspecto y la experiencia, también se realizan correcciones de seguridad para cerrar las vulnerabilidades.

Estas correcciones se llaman parches, y a menudo se publican de forma regular. Por ejemplo, Microsoft publica un grupo de parches para sus programas el segundo martes de cada mes, conocido como Martes de Parches.

Las compañías también pueden publicar parches para sus programas ad-hoc cuando se descubre una vulnerabilidad crítica. Estos parches esencialmente cosen el agujero para que los kits de explotación no puedan encontrar su camino y dejar sus paquetes maliciosos.

El problema con los parches es que a menudo no se liberan inmediatamente después de que se descubre una vulnerabilidad, por lo que los criminales tienen tiempo para actuar y explotar. El otro problema es que dependen de que los usuarios descarguen esas "molestas" actualizaciones tan pronto como salen.

La mayoría de los kits de explotación tienen como objetivo las vulnerabilidades que ya han sido parcheadas durante mucho tiempo porque saben que la mayoría de las personas no se actualizan con regularidad.

En el caso de las vulnerabilidades de software que aún no han sido parcheadas por la empresa que las fabrica, existen tecnologías y programas desarrollados por empresas de seguridad cibernética que protegen programas y sistemas conocidos como favoritos para su explotación.

Estas tecnologías actúan esencialmente como barreras contra los programas vulnerables y detienen los exploits en múltiples etapas de ataque, de esa manera, nunca tienen la oportunidad de dejar su carga útil maliciosa.

Los 3 más poderosos exploits

Los tres kits de exploit más activos ahora mismo se llaman RIG, Neutrino y Magnitud. RIG sigue siendo el kit más popular, y está siendo usado tanto en campañas de malversación como de compromiso de sitios web para infectar las máquinas de la gente con ransomware.

Neutrino es un kit de fabricación rusa que se ha utilizado en campañas de malversación contra los principales editores, y se aprovecha de las vulnerabilidades de Flash e Internet Explorer (también para entregar el software de rescate). Magnitude también utiliza la publicidad maliciosa para lanzar sus ataques, aunque se centra estrictamente en los países de Asia.

Dos campañas de explotación menos conocidas, Pseudo-Darkleech y EITest, son actualmente los vehículos de redireccionamiento más populares que utilizan sitios web comprometidos. Estos delincuentes inyectan código en sitios como WordPress, Joomla o Drupal, y redirigen automáticamente a los visitantes a una página de aterrizaje del exploit kit.

Como todas las formas de ciberamenazas, los exploits, sus métodos de entrega, y el malware que dejan caer están en constante evolución. Es una buena idea mantenerse al tanto de las formas más comunes para asegurarse de que los programas a los que se dirigen están parcheados en su ordenador.

Esto se debe a que, en junio de 2016, Angler, un sofisticado kit de explotación que fue responsable de casi el 60 por ciento de todos los ataques de explotación del año anterior, fue cerrado. No ha habido ningún otro kit de explotación que haya acumulado el mismo nivel de cuota de mercado desde entonces.

Los actores de la amenaza han sido un poco tímidos a la hora de volver a los kits de explotación, por miedo a otro ataque de Angler. Una vez que Angler fue desmantelado, los ciberdelincuentes volvieron a centrarse en algunas formas de ataque más tradicionales, como el phishing y los correos electrónicos con archivos adjuntos maliciosos (malspam).

Pero ten por seguro que volverán una vez que un nuevo y más fiable kit de explotación demuestre su eficacia en el mercado negro.

¿Cómo protegerse contra los exploits?

El instinto puede ser el de tomar poca o ninguna acción para protegerse contra los exploits, ya que no hay mucha actividad ciberdelictiva relacionada con los exploits en este momento.

Pero eso sería como elegir no cerrar las puertas con llave ya que no ha habido un robo en su vecindario en un año. Un par de simples prácticas de seguridad pueden ayudarle a mantenerse a la vanguardia.

En primer lugar, asegúrate de mantener tus programas de software, plugins y sistemas operativos actualizados en todo momento. Esto se hace simplemente siguiendo las instrucciones cuando esos programas le recuerdan que las actualizaciones están listas.

Cómo protegerse contra los exploits
Cómo protegerse contra los exploits

También puedes comprobar la configuración de vez en cuando para ver si hay notificaciones de parches que pueden haber desaparecido de tu radar.

En segundo lugar, invertir en la ciberseguridad que protege contra las hazañas conocidas y desconocidas. Varias compañías de ciberseguridad de última generación, entre ellas Malwarebytes, han comenzado a integrar la tecnología antiexploits en sus productos.

Así que puedes relajarte y rezar para que hayamos visto el último de los exploits. O bien, puede mantener sus escudos en alto actualizando constantemente sus programas y sistemas operativos, y utilizando programas de seguridad antiexploits de primera clase. El dinero inteligente dice que los exploits volverán. Y cuando regresen, no tendrás un talón débil para exponerlos.

También puedes leer: 11 Tipos De Ataques Informáticos Mas Comunes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir