¿De qué trata un ataque de tipo Watering Hole? TIC Defense te lo explica
La mayoría de los ataques informáticos empiezan con un error que comete una víctima, ingresando una contraseña en una página de phishing de apariencia legítima o descargando, de forma accidental, un archivo adjunto en un ordenador del trabajo.
Sin embargo, una técnica siniestra está comenzando a esparcirse, simplemente viendo un sitio web real. Se trata de ataques de tipo watering hole o ataques de abrevadero. Además de ser una amenaza informática de larga data, ha estado detrás de varios incidentes en los últimos tiempos.
Los investigadores de inteligencia de amenazas han enfatizado que esta técnica es común, debido a que es poderosa y productiva para los hackers maliciosos. Según la empresa de seguridad de Internet ESET, señala que puede detectar varios ataques de este tipo al año, mientras que el Grupo de Análisis de Amenazas de Google también detecta uno al mes.
El nombre de este ciberataque proviene de la idea de envenenar una fuente central de agua que, después, infecta a cualquiera que beba de la misma. En relación con esto, también se alude cuando un depredador acecha cerca de un abrevadero, esperando a que pase su presa.
Los ataques de abrevadero pueden ser complicados de detectar debido a que pueden operar en silencio, en sitios web legítimos cuyos propietarios no pueden notar nada extraño. Una vez descubiertos, puede pasar que no se aclara exactamente cuánto tiempo ha estado ocurriendo este ataque y cuántas víctimas están comprometidas.
La clave de que estos ataques son tan peligrosos y pueden dar tasas de éxito tan altas, se debe a que eliminan un paso importante, el paso en donde el objetivo tiene que hacer algo o es engañado. En lugar de atacar a las víctimas con algo en lo que realmente tengan que hacer clic, resultado difícil porque muchos detectan la amenaza, pueden ir a un lugar que ya están visitando y pasar directamente a la parte en la que están explotando los dispositivos de los usuarios.
A principios de 2024, el equipo de seguridad de Google publicó los resultados de un ataque de tipo abrevadero, el cual comprometió a varias plataformas web de medios de comunicación y grupos políticos en Hong Kong, atacando a los visitantes que utilizaban iPhones y Mac. La evidencia que el equipo logró recopilar, no pudieron establecer con certeza cuánto tiempo habían durado estos ataques ni cuántos dispositivos fueron comprometidos.
Generalmente, los ataques de tipo abrevadero tienen dos tipos de víctimas. Siendo la primera la página web o el servicio legítimo que los atacantes comprometen para integrar su infraestructura maliciosa. La segunda víctima es el usuario, que se ven comprometidos inmediatamente después de visitar el sitio infectado.
Los ciberdelincuentes se han vuelto más hábiles para minimizar la huella que dejan, usando la plataforma web o el servicio comprometido actuando como un enlace entre las víctimas y la infraestructura maliciosa. Todo ello sin una señal visible que indique a los usuarios que algo anda mal.
De esa manera, los atacantes no tienen que construir todo dentro del propio sitio comprometido. Convenientemente, para los criminales, esto hace que los ataques sean más fáciles de configurar y más difíciles de rastrear.
Para que la visita a un sitio web se convierta en un ataque real, los atacantes deben explotar los fallos de software de los dispositivos de las víctimas. Pueden ser, a menudo, una cadena de vulnerabilidades que comienza con un error del navegador. Esto les da a actores de amenazas el acceso que necesitan para instalar software espía y otro software malicioso.
