¿Qué es un ataque “Watering hole”?
Alguna vez te habrás preguntado qué es watering hole o lo que es lo mismo ataque de abrevadero, pues bien, cuando hablamos de un ataque de watering hole hace referencia a una forma de ciberataque en la que se establece como objetivo a distintos usuarios mediante la infección de páginas web que visitan con frecuencia. La clave suele ser la confianza.
Según explican desde INCIBE, este nombre proviene de su similitud con un depredador que acecha a una presa mientras bebe agua y tiene la guardia baja. Así, los actores de amenazas 'acechan' en webs especializadas esperando pacientemente a sus víctimas.
¿Cómo funciona?
Los ciberdelincuentes apuntan contra webs legítimas que no forman parte de las listas negras y que les sirven de exploits de día cero que los antivirus no detectan. A veces, entre estas páginas hay medios de comunicación digitales.
Estos piratas informáticos localizan vulnerabilidades en estos servicios o herramientas y distribuyen e instalan malware sin que las víctimas sean conscientes de ello, según explican en la web de Fortnite.
Puede incluir una inyección de código malicioso con lenguaje HTML o JavaScript que redirige a las víctimas a una web concreta, la cual estará falseada y aloja el malware del atacante.
Los actores de amenazas llevan a cabo ataques de watering hole para infectar los equipos de los usuarios y extraer datos personales, que pueden incluir detalles bancarios, robar propiedad intelectual y acceder a sistemas corporativos confidenciales.
¿A quién suele estar dirigido?
Las 'dianas' son empleados con cierta responsabilidad o privilegios que les permiten hacer ciertas cosas en las organizaciones. Es común que analicen sus costumbres para aprovecharse de ellas, así como de su confianza a la hora de visitar determinadas páginas.
En comparación con otros vectores de ataque estas amenazas no son muy comunes, ya que su objetivo suelen ser compañías con altos niveles de seguridad, así como agencias gubernamentales, grupos de derechos humanos, activistas e incluso gigantes tecnológicos. Sin embargo, sí que cuentan con una alta tasa de éxito y eficiencia.
¿Cuál es el objetivo de los ciberdelincuentes?
El propósito de los ciberdelincuentes es infiltrarse en la red o dispositivo de la víctima sin levantar sospechas.
En lugar de atacar directamente a una persona o empresa, los ciberdelincuentes infectan páginas confiables con malware o exploits, esperando que la víctima acceda y descargue el software malicioso sin darse cuenta.
De esta manera pueden robar información sensible, credenciales de acceso, instalar ransomware o incluso establecer una puerta trasera (backdoor) para futuros ataques.
El objetivo final es comprometer la seguridad del individuo o la organización de manera sigilosa y efectiva, aprovechando su confianza en sitios web que visitan con regularidad.
¿Cómo evitar los “watering hole attacks”?
Teniendo en cuenta que el eslabón más débil de la ciberseguridad son las personas o los empleados, la educación y divulgación de la existencia de los ataques de abrevadero dentro de las empresas o instituciones puede resultar muy útil.
Además, hay distintas técnicas de defensa que pueden ser útiles, como el uso de contraseñas y enlaces de acceso completos, o la utilización de información biométrica para salvaguardar los datos o archivos confidenciales de las organizaciones.
Obviamente, aunque no son infalibles, contar con antivirus o firewalls en los equipos empresariales también puede resultar de ayuda.
Además, también se aconseja tener el software actualizado para evitar que los piratas encuentren debilidades, contar con herramientas de monitorización del tráfico de terceros y bloquear la ejecución automática de lenguajes de scripting.
Ejemplos de ataques watering hole
2016 – Ataque a la OACI
La Organización de Aviación Civil Internacional (OACI), con sede en Montreal, actúa como un punto de conexión clave para aerolíneas, aeropuertos y agencias de aviación de todo el mundo.
Un ciberdelincuente logró comprometer dos de sus servidores, propagando malware a otros sitios web y dejando expuesta la información confidencial de 2,000 empleados y usuarios.
2017 – Propagación de NotPetya
El malware NotPetya se infiltró en redes de toda Ucrania a través de sitios web infectados, afectando a miles de usuarios. Una vez en los dispositivos, el virus eliminaba los datos almacenados en los discos duros, causando daños irreversibles.
2020 – Ataque a SolarWinds
La compañía estadounidense de tecnología SolarWinds fue blanco de un watering hole attack que permaneció oculto durante meses. Hackers patrocinados por un estado utilizaron esta táctica para infiltrarse en redes de empresas de ciberseguridad y organismos gubernamentales clave, como el Departamento del Tesoro y Seguridad Interior.
2021 – Ataque en Hong Kong
El Grupo de Análisis de Amenazas de Google (TAG) detectó una serie de ataques watering hole dirigidos a visitantes de sitios web de medios y plataformas pro-democracia en Hong Kong.
El malware instalado en estos sitios infectaba dispositivos Apple, creando una puerta trasera para el acceso remoto de los atacantes.