Dentro del campo ciberseguridad hay un concepto que tanto usuarios como desarrolladores, más quizás estos últimos, deben tener en cuenta como son las vulnerabilidades zero day, es decir, aquellas puertas de entrada que descubren antes los hackers que los propios desarrolladores.
Al hilo de esto, el último informe global HP Wolf Security Threat Insights ha constatado que los ciberdelincuentes están aumentando su capacidad para aprovechar las vulnerabilidades zero day. Antes de que exista un parche o actualización que resuelva este problema, los hackers sacan partido de este agujero.
“El tiempo medio para que una empresa aplique, pruebe y despliegue completamente los parches con las comprobaciones adecuadas es de 97 días, lo que da a los ciberdelincuentes la oportunidad de explotar esta ’ventana de vulnerabilidad’, explican fuentes de HP.
Vulnerabilidades zero day detectadas
El equipo de investigación de amenazas de HP Wolf Security ha detectado concretamente el ataque zero day CVE-2021-40444 -una vulnerabilidad de ejecución remota de código que permite la explotación del motor del navegador MSHTML, utilizando documentos de Microsoft Office.
Precisamente los documentos Word y las hojas de cálculo son aplicaciones que pueden contener archivos maliciosos, aunque los expertos mantienen que la mayoría de ellos se alojan en los archivos comprimidos.
De las vulnerabilidades zero day mencionadas, HP ha comprobado que a no ser que sea parchecado, el exploit permite a los delincuentes comprometer los dispositivos sin interacción del usuario a través de la utilización de un archivo malicioso de un documento de Office. Por cierto, la creación del exploit se produjo de forma automatizada en la plataforma GitHub.
La sofisticación de este ataque es tal que los usuarios no tienen ni que abrir el archivo ni habilitar ninguna macro, basta con verlo en el panel de vista previa del explorador de archivos para iniciar el ataque.
En cifras totales, el informe descubrió que el 12% de los programas maliciosos capturados eran desconocidos hasta el momento.
¿Qué más está pasando en el océano de la ciberseguridad?
Además de las vulnerabilidades zero day, el equipo de HP Wolf Security ha descubierto otra serie de hechos muy a tener en cuenta sobre todo en entornos laborales, que es donde se manejan más datos sensibles:
- Crece el número de hackers que utilizan proveedores legítimos de cloud. OneDrive ha sido, por ejemplo, refugio de un troyano de acceso remoto en una reciente campaña de GuLoader. Asimismo, se han descubierto varias familias de malware en redes sociales como Discord.
- La propagación de RATs de JavaScript cada vez es más común. Estos se distribuyen a través de archivos adjuntos de correo electrónico y permiten a los hackers robar las credenciales de las cuentas empresariales o las carteras de criptomonedas.
- Se ha detectado la técnica de typosquatting en una campaña que se hacía pasar por la Caja Nacional de la Seguridad Social de Uganda. El «typosquatting» consiste en utilizar una dirección web falsa similar a un nombre de dominio oficial. Las descargas que allí se producen contienen malware.
- El troyano Trickbot se distribuye ahora a través de archivos HTA (aplicación HTML), que despliegan el malware en cuanto se abre el archivo adjunto que lo contiene. Al ser un tipo de archivo poco común, es menos probable que las herramientas detecten los archivos HTA maliciosos.
Tendencias a tener en cuenta en el día a día en la oficina
Todo lo anterior viene a resumir la sofisticación de los ciberdelincuentes y el dinamismo de la actividad. Más fácil de entender y de asumir son las grandes conclusiones a las que ha llegado HP Wolf Security en su informe. Responsables de TI y empleados en general deben tener muy en cuenta lo siguiente:
- El 12% del malware aislado por correo electrónico había eludido al menos un escáner de puerta de enlace.
- El 89% de los programas maliciosos detectados se distribuyeron por correo electrónico, mientras que las descargas web fueron responsables del 11% y otros vectores, como los dispositivos de almacenamiento extraíbles, de menos del 1%.
- Los archivos adjuntos más utilizados para distribuir programas maliciosos fueron los archivos comprimidos (38%, frente al 17,26% del trimestre anterior), los documentos de Word (23%), las hojas de cálculo (17%) y los archivos ejecutables (16%).
- Los cinco señuelos de phishing más comunes estaban relacionados con transacciones comerciales, como «pedido», «pago», «nuevo», «presupuesto» y «solicitud».