Un ataque de watering hole (o 'ataque de abrevadero o pozo de agua' en castellano) hace referencia a una forma de ciberataque en la que se establece como objetivo a distintos usuarios mediante la infección de páginas web que visitan con frecuencia. La clave suele ser la confianza.
Según explican desde INCIBE, este nombre proviene de su similitud con un depredador que acecha a una presa mientras bebe agua y tiene la guardia baja. Así, los actores de amenazas 'acechan' en webs especializadas esperando pacientemente a sus víctimas.
Las 'dianas' son empleados con cierta responsabilidad o privilegios que les permitan hacer ciertas cosas en las organizaciones. Es común que analicen sus costumbres para aprovecharse de ellas, así como de su confianza a la hora de visitar determinadas páginas.
En comparación con otros vectores de ataque estas amenazas no son muy comunes, ya que su objetivo suelen ser compañías con altos niveles de seguridad, así como agencias gubernamentales, grupos de derechos humanos, activistas e incluso gigantes tecnológicos. Sin embargo, sí que cuentan con una alta tasa de éxito y eficiencia.
La razón es que apuntan contra webs legítimas que no forman parte de las listas negras y que los ciberdelincuentes se sirven de exploits de día cero que los antivirus no detectan. A veces, entre estas páginas hay medios de comunicación digitales.
Los piratas informáticos localizan vulnerabilidades en estos servicios o herramientas y distribuyen en instalan malware sin que las víctimas sean consciente de ello, según explican en la web de Fortnitet.
Puede incluir una inyección de código malicioso con lenguaje HTML o JavaScript que redirige a las víctimas a una web concreta, la cual estará falseada y alojará el malware del atacante.
Los actores de amenazas llevan a cabo ataques de watering hole para infectar los equipos de los usuarios y extraer datos personales, que pueden incluir detalles bancarios, robar propiedad intelectual y acceder a sistemas corporativos confidenciales.
¿Cómo evitar un ataque de watering hole?
Teniendo en cuenta que el eslabón más débil de la ciberseguridad son las personas o los empleados, la educación y divulgación de la existencia de los ataques de abrevadero dentro de las empresas o instituciones puede resultar muy útil.
Además, hay distintas técnicas de defensa que pueden ser útiles, como el uso de contraseñas y claces de acceso completas, o la utilización de información biométrica para salvaguardar los datos o archivos confidenciales de las organizaciones.
Obviamente, aunque no son infalibles, contar con antivirus o firewalls en los equipos empresariales también puede resultar de ayuda.
Además, también se aconseja tener el software actualizado para evitar que los piratas encuentren debilidades, contar con herramientas de monitorización del tráfico de terceros y bloquear la ejecución automática de lenguajes de scripting.