La Web 2.0, con sus tecnologías dinámicas y bulliciosas comunidades, ha convertido el antaño tranquilo territorio de la web en un salvaje Oeste. A medida que llegaban los colonos, lo hacían también los criminales, instalando mil trampas para cazar los ordenadores de los incautos. Caer en ellas es tan sencillo como visitar un sitio con un navegador o sistema operativo que tengan algún fallo de seguridad.
Según la empresa Sophos, cada día se descubren 6.000 páginas infectadas. Sus propietarios, en el 83% de los casos, ni lo saben. Alguien ha aprovechado un agujero de seguridad para colarles un código malicioso que infectará a sus visitantes: una ventana emergente les pedirá si aceptan descargar un archivo para visualizar mejor la página. Este archivo contendrá el virus.
Y no será un virus cualquiera, sino un virus inteligente, perteneciente a una nueva generación llamada Malware 2.0, capaz de detectar el sistema operativo y navegador de su futura víctima para instalarle el código malicioso adecuado. En cada vez más ocasiones, ya no es necesario que el visitante acepte descargar nada: el virus se introduce automáticamente en su ordenador mediante un programita escondido en la página visitada.
Nuevos ataques diarios
Cada día se conocen nuevos ataques de este tipo, especialmente en las redes sociales. La más castigada es MySpace por una sencilla razón que explica Luis Corrons, director técnico de PandaLabs: "Los creadores de código malicioso intentan que la distribución de su código afecte al mayor número de gente y, cuanto más grande y activa sea una red social, más fácil será".
Las primeras redes sociales atacadas fueron Orkut y MySpace, en 2005. Ambas tenían errores de Cross Site Scripting (validación incorrecta del HTML), el mayor problema de seguridad de la Web 2.0 junto con los controles JavaScript y ActiveX. Los asaltantes introdujeron gusanos en perfiles de estas redes que, al ser visitados por personas con navegadores vulnerables, infectaban sus perfiles y éstos, a otros. Hubo miles de infecciones en minutos.
Desde entonces las redes sociales han visto de todo: foros e invitaciones de amistad que piden al visitante que descargue un programa para poder visualizar una foto, una película, una postal de aniversario. Actualizaciones de conocidos programas que en realidad son virus. Programas antiespías que en realidad instalan espías. Y el viejo delito del robo de datos.
En enero, una persona anónima hacía públicas medio millón de imágenes sacadas de perfiles supuestamente privados de MySpace. No era la primera vez. Por las mismas fechas, el periódico The New York Times denunciaba que Facebook no borra de sus servidores la información personal de las cuentas que se dan de baja, exponiéndola a los intrusos.
Los criminales empiezan a aprovechar también la creciente popularidad de los vídeos en la web. En MySpace ya se han visto películas en Quicktime que descargan troyanos. El año pasado, un investigador avisaba de los muchos agujeros en YouTube que permitirían inyectar código malicioso en sus páginas, o vídeos que infectarían con sólo mirarlos aunque, explica Corrons, "YouTube elimina los vídeos sospechosos".
El anzuelo de YouTube
A su vera crecen nuevas tretas, asegura el experto: "Estamos observando el uso de vídeos legítimos de Youtube para hacer pasar inadvertido un código malicioso. Imaginemos que recibimos un correo basura de una chica que quiere conocer gente y, para poder verla, tenemos que ejecutar un fichero. Cuando lo hacemos, nos redireccionará a un vídeo legítimo de Youtube, para que no sospechemos nada mientras se nos instala el código".
Además de infectar las páginas donde acude la gente, los criminales infectan de golpe miles de sitios legítimos, asaltando el servidor que los aloja. Son los llamados "hacks en masa" cuyo máximo exponente fue la herramienta MPack, que entre abril y mayo infectó 400.000 webs.
El objetivo de los criminales de la Web 2.0 es, según Corrons, "ampliar sus redes de bots y obtener claves de acceso a cuentas bancarias. Normalmente, instalan un troyano que irá descargando más código malicioso al equipo según las necesidades de su creador". El lucro está siempre presente: "A veces de forma directa, como los troyanos bancarios. Otros pueden reunir información de hábitos de uso de Internet".
La causa de este problema es "el aumento de la complejidad de las aplicaciones web y la falta de concienciación y formación en seguridad de sus programadores", asegura Chelo Malagón, de IRIS-CERT. Corrons culpa también a los internautas: "En la mayoría de casos, no tienen sus sistemas actualizados o son engañados para que ejecuten ficheros maliciosos y dan demasiada información en sus perfiles de las redes sociales".
No hay comentarios:
Publicar un comentario