Ataques en charcas: Definición, peligros y prevención

Blog

Los ataques de tipo watering hole comprometen sitios web aparentemente inofensivos y ponen en peligro los datos de su organización. Descubra cómo funcionan y cómo reforzar su ciberseguridad.

por Ahona Rudra

Tiempo de lectura: 5 min
Ataques en charcas: Definición, peligros y prevención
Índice-

Los CISO y las organizaciones se esfuerzan por mantenerse al día con las herramientas, técnicas y prácticas de ciberseguridad. Sin embargo, los actores de las amenazas innovan continuamente para ser más astutos que ellos. Una de estas técnicas que utilizan es el ataque de agujero de riego. Cuando su ecosistema técnico está protegido y sus empleados están formados para evitar manipulaciones, los ciberdelincuentes pueden apuntar a servicios de terceros. Esto se hace para explotar vulnerabilidades y causar daño a su organización.

Historia de los ataques a abrevaderos 

El término "ataque al abrevadero" tiene su origen en una antigua estrategia de caza. A los cazadores de la antigüedad les resultaba inconveniente perseguir a las presas. Esto se debía a que, idealmente, las presas eran más rápidas y mucho más ágiles que los humanos. Una solución mucho mejor era colocar trampas en los lugares donde las presas solían reunirse. Lugares como la orilla de un río o un abrevadero atraían a estas presas para beber agua. 

Los cazadores esperaban en el abrevadero a que su presa bajara la guardia para poder inmovilizarla fácilmente. Lo mismo ocurre con esta técnica emergente de ciberataque. 

Ataque a un abrevadero Definición

Un ataque watering hole es un ciberataque en el que los actores de la amenaza comprometen a los usuarios finales adivinando u observando los sitios web que visitan con frecuencia. El objetivo de los atacantes es infectar los sitios web con malware para infiltrarse en el dispositivo del objetivo. A continuación, pueden utilizar el dispositivo infectado para acceder a la red organizativa del objetivo.  

Por ejemplo, un hacker pretende explotar el ordenador de una empresa. Pero sus sistemas de ciberseguridad y las prácticas de ciberhigiene de los empleados les impiden infiltrarse. Sin embargo, el hacker sabe que RRHH encarga una tarta a una pastelería online concreta para el cumpleaños de cada empleado. Ahora, esperarán a que RRHH visite el sitio web de la pastelería. Lanzarán malware o códigos ejecutables en el dispositivo de RRHH. Esto les permitirá entrar en el ecosistema de la empresa.

Los ataques de tipo watering hole son peligrosos porque son difíciles de detectar y eliminar. Para cuando te des cuenta de su presencia, los hackers ya habrán hecho suficiente daño a tu empresa. 

Ciclo vital completo de un ataque a un abrevadero

Un ataque típico en un abrevadero se desarrolla en las siguientes etapas:

1. Identificación del sitio web

Los actores de las amenazas suelen seleccionar sus sitios web con vulnerabilidades de seguridad, es decir, prácticas de seguridad deficientes. Sus objetivos pueden ser empleados de una empresa concreta, miembros de un sector específico o usuarios de un determinado software o servicio. Tienen en cuenta varios factores a la hora de localizar un objetivo ideal. 

Entre ellos se incluyen las oportunidades de ingeniería social, la ubicación geográfica, la proximidad a su configuración, las ganancias financieras esperadas, la reputación, las vulnerabilidades y la facilidad de explotación.

2. Investigación de objetivos

A continuación, investigan el comportamiento y los patrones en línea del objetivo. Esto les ayuda a encontrar un abrevadero (cualquier sitio web de terceros que visiten con regularidad). Puede tratarse de sitios web de noticias, foros del sector, conversores de formatos de archivo, plataformas de compra en línea, sitios web de reserva de entradas, etc. 

3. Infección

Los atacantes comprometen uno o más de estos sitios web inyectándoles código malicioso. Este código puede engañar a los visitantes para que descarguen malware en sus ordenadores o dispositivos.

4. Atraer a

Una vez que el código malicioso se instala en el sitio web "abrevadero", los malos actores esperan a que sus objetivos visiten el sitio web comprometido. De ahí la analogía con los depredadores que esperan a sus presas en un abrevadero. El sitio web infectado es el señuelo o cebo para que las víctimas caigan en la trampa.

5. Explotación

Cuando la víctima visita el sitio web del "abrevadero", su ordenador se infecta con malware o se ve comprometido. Esto puede ocurrir a través de drive-by downloads. En este caso, el malware se descarga automáticamente y se ejecuta sin el conocimiento o consentimiento del usuario.

6. Entrega de la carga útil

El malware instalado a través del sitio web "watering hole" puede incluir diversas cargas útiles. Esto depende del objetivo del atacante. Obtener acceso no autorizado a sus dispositivos y redes puede ser un posible objetivo.

7. Cubrir vías

Una vez que los atacantes han logrado sus objetivos explotando el sistema objetivo, a menudo intentan cubrir sus huellas. Esto implica eliminar los rastros de su presencia manipulando o borrando los archivos de registro. Pueden alterar las marcas de tiempo, eliminar entradas específicas, o incluso manipular las configuraciones de registro para evitar el registro por completo.

Los hackers pueden incluso utilizar técnicas furtivas, como los rootkits, para ocultar su presencia en los sistemas comprometidos. Los rootkits modifican el sistema operativo para ocultar procesos y actividades maliciosas.

Ejemplo real de ataque a un abrevadero

fuente

En 2021, el Grupo de Asesoramiento sobre Amenazas (TAG) de Google descubrió una serie de ataques de watering hole. Estos ataques tenían como objetivo dispositivos iOS y macOS. Los ataques operaban principalmente en Hong Kong. Ponían en peligro sitios web y una combinación de vulnerabilidades, incluido un exploit de día cero en macOS Catalina (CVE-2021-30869).

Los puntos de riego eran sitios web vinculados a un medio de comunicación y a un grupo prodemocrático. Los atacantes instalaron una puerta trasera en los dispositivos vulnerables a través de la cadena de exploits. Esto les proporcionó una serie de capacidades. Entre ellas, identificación de dispositivos, grabación de audio, captura de pantallas, keylogging, manipulación de archivos y ejecución de comandos de terminal con privilegios de root.

Protección contra los ataques de "Watering Hole

La prevención de los ataques de "watering hole" implica una combinación de medidas de ciberseguridad y concienciación de los usuarios. Esto es lo que usted, como propietario de una organización, puede hacer

  • Mantenga actualizados el software y los plugins

Mantener el software y los plugins actualizados es crucial para mantener la seguridad, ya que las actualizaciones suelen incluir parches para vulnerabilidades conocidas, protegiendo contra exploits que podrían conducir a accesos no autorizados, violaciones de datos o infecciones de malware.

  • Aplicar el mínimo privilegio

Siga el principio del menor privilegio concediendo a los usuarios sólo los permisos y el acceso que necesitan para realizar su trabajo. Limitar los privilegios de los usuarios puede mitigar el impacto del éxito de los ataques de tipo watering hole. Esto se debe a que reduce la capacidad del atacante para escalar privilegios y moverse lateralmente dentro de la red.

  • Segmentación de la red

Divida su red en segmentos más pequeños y aislados para limitar el impacto de un ataque de tipo watering hole. Esto le permitirá controlar y contener la propagación del malware. También impide que los atacantes accedan a sistemas y datos sensibles. La reducción de la superficie de ataque permite priorizar el tráfico de red en función de las necesidades y la criticidad de la empresa. Esto mejora el rendimiento, reduce la congestión y optimiza el uso del ancho de banda.

  • Aplicar el filtrado web

Las soluciones de filtrado web pueden impedir la filtración no autorizada de datos. Las soluciones de filtrado web también pueden impedir la filtración no autorizada de datos. 

Esto se consigue bloqueando las conexiones salientes a servidores conocidos de mando y control utilizados por el malware. Esto ayuda a contener el impacto de los ataques de tipo watering hole y evitar que se robe o filtre información sensible.

  • Deshacerse de los sistemas heredados 

Deshacerse de los sistemas heredados protege a las organizaciones de los ataques "watering hole". Esto se consigue eliminando el software obsoleto y la infraestructura vulnerable a la explotación.

Los sistemas y programas informáticos modernos incorporan funciones de seguridad. Entre ellas figuran protocolos avanzados de cifrado, prácticas de codificación seguras y capacidades de detección de amenazas. Estas características hacen más difícil que los atacantes pongan en peligro los sistemas y las redes.

Conclusión

La posibilidad de obtener lucrativas recompensas incentiva a los ciberdelincuentes a seguir empleando ataques de tipo watering hole. Esto incluye la obtención de acceso no autorizado a recursos valiosos o la obtención de datos sensibles.

La supervisión continua de los ataques de "watering hole" le permite desplegar medidas de ciberseguridad sólidas. Esto le ayuda a adelantarse a las amenazas emergentes en un panorama cibernético en constante evolución. Al final, esto salvaguarda la reputación de su marca y mantiene la confianza de los clientes.

Si desea proteger su dominio contra el fraude por correo electrónico, necesita nuestro analizador DMARC. Regístrese para una prueba gratuita ¡para experimentar el poder de la autenticación de correo electrónico hoy mismo!

Últimas publicaciones de Ahona Rudra (ver todas)
Cómo publicar un registro DMARC en 3 pasospublicar el blog de dmarc recordProtección de datos en la comunicación por correo electrónico: Cumplimiento, riesgos y buenas prácticas