Hace casi un año, la empresa de seguridad Symantec informó sobre un ataque informático llamado “Drive-by pharming”. En este tipo de intrusión, todo lo que la víctima debía hacer para ser afectada era mirar al código HTML o JavaScript del atacante, el cual estaría colocado en una página Web o dentro de un correo electrónico. Una vez hecho esto, el código malicioso del atacante se encargaría de cambiar los parámetros del sistema de nombre de dominio (DNS, sigla en inglés) del servidor en el ruteador (router) de banda ancha de la víctima (sin importar si éste es alámbrico o inalámbrico). De ahí en adelante, las futuras solicitudes de DNS serían contestadas por el servidor DNS del atacante, lo que significa que, efectivamente, el atacante controlaría la conexión de Internet de la víctima.
Cuando la compañía descubrió el concepto de este ataque, lo hizo de manera teórica ya que hasta ese entonces no se había detectado un ejemplo de este ataque, pero hoy, el ataque es una realidad ya que recientemente Symantec detectó que los atacantes pusieron en marcha una versión básica de “Drive-by Pharming”.
En el ejemplo real detectado por la firma, los atacantes colocaron el código malicioso dentro de un correo que parece una tarjeta electrónica (e-card) supuestamente proveniente del sitio gusanito.com. Dicho correo contiene una liga HTML que genera un requerimiento HTTP GET que afecta ciertos modelos de ruteadores populares en México. De esta manera, la solicitud GET modifica los parámetros DNS para que cuando el usuario intente entrar al sitio Web de una institución financiera (entre otros sitios Web) el ruteador, en lugar de llevarlo al sitio legítimo de dicha institución, lo lleva hacia el sitio Web del atacante (que es muy parecido al original) implicando que, al realizar cualquier transacción en el sitio, el atacante podría robarle a la víctima sus datos de acceso.
Cuando la empresa habló por primera vez del concepto de ataque “Drive-by Pharming” hace casi un año, se pensó que podría ser algo de gran impacto, por lo que se alertó a los usuarios de Internet antes de que esto se volviera una realidad. Sin embargo, parece que la primera muestra real de “Drive-by Pharming” es más poderosa que el concepto original que vislumbró la compañía. Esto es porque el modelo del ruteador afectado en este ataque tiene más vulnerabilidades de las previstas, lo que hace el ataque mucho más potente, indicó la empresa en un comunicdado.
En la visión original, el ataque de “Drive-by Pharming” requería que el atacante adivinara la contraseña del ruteador de la víctima. Como muchas personas nunca cambian su contraseña o no saben de su existencia, esta medida podría no ser un impedimento para el atacante. Sin embargo, simplemente cambiando la contraseña predeterminada por una difícil de adivinar hubiera sido suficiente para proteger al usuario. En el caso de los ruteadores afectados en la muestra detectada por Symantec, esto no sucede, ya que dichos ruteadores no requieren que el atacante adivine la contraseña.
Ahora que las primeras señales del ataque se han detectado, es probable que broten más. Para sorpresa de muchos, pasó casi un año desde la primera vez que Symantec señaló que el “Drive-by pharming” podría representar un ataque y la fecha en que detectamos la primera muestra, pero la presencia de esta variante es un signo de que los atacantes continúan evolucionando sus tácticas.
Recomendaciones de seguridad
Symantec recomienda cambiar la contraseña predeterminada por el ruteador por una difícil de adivinar.
Para muchos modelos de ruteadores, esto protegerá al usuario por lo que se sugiere elegir una contraseña complicada porque eso provee un mayor margen de seguridad. Sin embargo, algunas personas evitan las contraseñas complicadas por temor a olvidarlas, pero esto no debe ser así en este caso ya que si se llegara a olvidar la contraseña, basta con resetear el ruteador lo que devolvería la configuración original, incluyendo la contraseña predeterminada.
Por otra parte, la empresa recomienda resetear el ruteador antes de cambiar la contraseña. Este paso asegura que si el usuario ya es una víctima, evite seguirlo siendo, ya que los parámetros del servidor DNS también se resetean. Adicionalmente, si el usuario se ha dado cuenta de que ya es una víctima, se recomienda incluir como medida adicional, revisar los sitios Web que ha visitado recientemente y asegurarse de cambiar sus contraseñas. Y si ha realizado alguna transacción bancaria o con tarjeta de crédito a últimas fechas, se recomienda avisar de inmediato a las compañías involucradas.
Como recomendación general, la firma sugiere navegar de manera segura en Internet evitando visitar sitios sospechosos, además de tener precaución al dar clic en ligas que le envíen otros usuarios, aunque sea alguien en quien confía. Además, se debe ser muy cuidadoso con los correos. hay que recordar que en este caso, el código malicioso identificado en el ataque es distribuido por correo, así que si no reconoce al remitente o el correo parece “basura”, bórrelo sin abrirlo. No deje que la curiosidad le gane ya que las consecuencias pueden ser graves.
