Hay docenas de formas en las que el malware puede ingresar a su sistema. En la mayoría de los casos, las infecciones involucran una acción iniciada por el usuario, como abrir un archivo adjunto malicioso o ejecutar un archivo .exe adquirido en algún rincón incompleto de Internet.

En otros casos, puede infectarse con malware incluso sin abrir un archivo o descargar nada malicioso; todo lo que necesita es que visite un sitio web comprometido.

En este artículo, le mostraremos exactamente cómo funcionan las descargas no autorizadas y cómo puede protegerse de esta amenaza.

¿Qué es una descarga drive-by?

Una descarga no autorizada se refiere a la descarga de software malicioso en su dispositivo sin su consentimiento. A diferencia de otros tipos de malware que generalmente se basan en engañarlo para que haga clic en un enlace malicioso o descargue un archivo malicioso, las descargas no autorizadas pueden ocurrir sin la interacción del usuario. Las descargas no autorizadas pueden tener lugar en sitios web propiedad de atacantes, en sitios web legítimos que se han visto comprometidos y mediante anuncios maliciosos que se muestran en sitios que de otro modo serían seguros.

En otras palabras, sí: puede obtener malware con solo visitar un sitio web.

La mayoría de los tipos de descargas no autorizadas funcionan aprovechando las vulnerabilidades conocidas en su sistema operativo, navegador web y complementos del navegador. Estas fallas de seguridad generalmente solo existen debido a malas prácticas de ciberseguridad: muchas empresas y usuarios domésticos retrasan la aplicación de parches de seguridad vitales, lo que brinda a los atacantes una oportunidad para explotar vulnerabilidades conocidas.

¿Qué es un exploit kit?

Los ataques de descargas no autorizadas suelen implicar el uso de un kit de explotación. Un kit de exploits es una colección preempaquetada de exploits que intenta infectar objetivos automáticamente mediante una variedad de métodos de ataque diferentes.

Los kits de exploits están diseñados para ser fáciles de usar y, a menudo, vienen cargados con características como una consola de administración, funciones complementarias y soporte técnico, que facilitan a los ciberdelincuentes de todos los niveles de conocimientos técnicos lanzar una campaña. Los creadores de exploit kits pueden generar ganancias sustanciales alquilando sus exploit kits a otros ciberdelincuentes, un modelo que a veces se describe como exploit-kits-as-a-service. Los kits de explotación más buscados pueden costar miles de dólares al mes.

La mayoría de los kits de exploits modernos funcionan escaneando el sistema de un visitante del sitio web (sistema operativo, dirección IP, navegador, complementos y más) para determinar qué sistemas son vulnerables al riesgo. A continuación, el kit de explotación selecciona automáticamente un método de ataque de acuerdo con la vulnerabilidad que se ha identificado y activa la secuencia de eventos que conduce a la entrega de la carga útil maliciosa.

¿Cómo funcionan las descargas no autorizadas?

A continuación se describe la anatomía típica de un ataque de descarga drive-by:

1. Implementación del kit de explotación: los actores de amenazas implementan un kit de explotación en su propio servidor, en un sitio web legítimo comprometido o mediante servicios publicitarios de terceros.

2. Contacto: para difundir el contenido malicioso, los adversarios deben dirigir el tráfico a la página de inicio del kit de explotación. Los métodos de generación de tráfico varían según el lugar donde se implemente el exploit:

• El servidor del atacante: atraer visitantes a un nuevo sitio web puede ser un desafío, por lo que se pueden utilizar campañas de phishing por correo electrónico o redes sociales para generar tráfico.

• Sitio web legítimo: los sitios web legítimos ya tienen sus propias fuentes de tráfico, lo que reduce la dificultad de atraer víctimas potenciales.

• Publicidad maliciosa: el contenido malicioso se difunde a través de servicios publicitarios, cuyos anuncios pueden mostrarse en la web en sitios legítimos.

3. Huellas digitales: cuando un visitante llega a la página de inicio del kit de explotación, el kit de explotación analiza la huella digital del dispositivo del usuario para identificar posibles vulnerabilidades en la pila de software del usuario y determinar si son un objetivo adecuado.

4. Explotación: si se considera que el usuario es un objetivo adecuado, el kit de explotación explota automáticamente las vulnerabilidades detectadas para iniciar la descarga drive-by. Los objetivos sin vulnerabilidades adecuadas pueden ser ignorados o redirigidos a una página de destino que utiliza tácticas de ingeniería social para engañar al usuario para que descargue malware.

5. Ejecución: se ejecuta el archivo malicioso. A menudo, se trata de un ataque de varias etapas, en el que la descarga automática inicial se utiliza para implementar otros tipos de malware. Los métodos de ofuscación se utilizan normalmente para evitar la detección durante todo el ataque.

¿Qué tipo de malware se puede instalar en un ataque de descarga no autorizada?

Los adversarios utilizan descargas no autorizadas como una forma de establecer el control de un dispositivo. Debido a que no se requiere la interacción del usuario, las descargas no autorizadas pueden ser una forma efectiva para que los actores de amenazas obtengan acceso silenciosamente a un dispositivo y usen la infección inicial como un trampolín para realizar más actividades maliciosas.

El tipo exacto de malware que se entrega en una descarga automática depende del objetivo del ataque. En algunos casos, la descarga automática es el objetivo. En otros casos, la descarga automática es simplemente la primera fase de un ataque de varias etapas: una oportunidad para que los atacantes se afiancen en el entorno objetivo antes de realizar su siguiente movimiento.

Teniendo esto en cuenta, las descargas no autorizadas se pueden utilizar en última instancia para implementar casi cualquier tipo de malware, incluidos ransomware, keyloggers, puertas traseras y más.

Cómo le protege Emsisoft de las descargas no autorizadas

Si es un usuario de Emsisoft, puede estar seguro de que está completamente protegido contra descargas no autorizadas, gracias a una serie de potentes tecnologías de protección que funcionan en sinergia para mantenerlo a salvo de las amenazas en línea.

En el perímetro exterior, Web Protection y Emsisoft Browser Security le impiden conectarse a sitios web maliciosos utilizando una enorme base de datos de hosts maliciosos que se actualizan continuamente. En caso de que te topes con la página de inicio de un kit de explotación, nuestro Bloqueador de comportamiento interceptará automáticamente los intentos de explotación y evitará que los archivos descargados intenten ejecutarse, incluidos los archivos maliciosos que nunca antes se han visto. Nuestro componente File Guard también interceptará cualquier descarga no autorizada que tenga una firma existente.

Adoptar un enfoque de seguridad de varios niveles brinda múltiples oportunidades para neutralizar las descargas no autorizadas antes de que puedan realizar cambios en su dispositivo.

Más consejos sobre cómo evitar descargas no autorizadas

Las siguientes prácticas recomendadas pueden resultar útiles para reducir el riesgo de ataques de descargas no autorizadas:

1. Instale las actualizaciones de seguridad de inmediato: como se mencionó anteriormente, la mayoría de los ataques de descargas no autorizadas funcionan aprovechando fallas de seguridad conocidas. Mitigue este riesgo instalando siempre actualizaciones de seguridad para su navegador web, extensiones, sistema operativo y otras aplicaciones tan pronto como los parches estén disponibles.

2. Evite sitios web incompletos: si bien, en teoría, una descarga automática podría ocurrir en cualquier lugar de la web, es más probable que experimente un ataque en sitios web que se ocupan de la piratería y el contenido para adultos. Reduzca el riesgo de infección al ceñirse a sitios confiables y bien establecidos.

3. Elimine las aplicaciones no utilizadas: reducir la superficie de ataque reduce el riesgo de infección. Tómese unos minutos para revisar sus aplicaciones y extensiones de navegador y desinstale todo lo que use con poca frecuencia o que le parezca desconocido. Las aplicaciones que ya no reciben actualizaciones son particularmente riesgosas y deben eliminarse.

4. Tenga cuidado con el phishing: los adversarios a veces utilizarán el phishing para dirigir el tráfico a una página de destino maliciosa que contenga un kit de explotación. Familiarízate con el lenguaje de la suplantación de identidad (phishing), desconfía de los correos electrónicos no solicitados que intentan transmitir una sensación de urgencia y siempre revisa las URL antes de hacer clic en cualquier cosa. Consulte esta publicación de blog para obtener más información sobre cómo prevenir ataques de phishing.

5. Utilice un bloqueador de anuncios: las descargas no autorizadas se distribuyen con frecuencia a través de redes publicitarias. Una forma eficaz de bloquear este vector de ataque es instalar un bloqueador de anuncios de buena reputación.

Resumen

Es cierto que puede contraer software malintencionado con solo visitar un sitio web. Mediante el uso de exploit kits alojados en sitios web legítimos maliciosos o comprometidos, los actores de amenazas pueden lanzar ataques de descarga no autorizada que entregan malware sin siquiera poner una mano en el mouse.

Mantener sus aplicaciones actualizadas, usar un buen software antivirus, instalar un bloqueador de anuncios y ser consciente de los intentos de phishing puede reducir en gran medida el riesgo de ser víctima de un ataque de descarga no autorizada.