Ataques clic cero: la amenaza que no cesa

Se puede decir sin temor a equivocarnos que el mundo de la ciberdelincuencia no descansa, siempre elucubra nuevas maneras de causar el mal, de materializar sus propósitos. Los ataques aumentan al ritmo que lo hace la naturaleza de su esencia, y siempre con el mismo fin: pedir un rescate.

Eso es lo que pretende una modalidad de ataque conocida como zero clic, o clic cero en español. Ataque que, como explica Martin Zugec, Technical Solutions director de Bitdefender, “no requiere la interacción del usuario, como hacer clic en un enlace, presionar alguna tecla y, lo que es más importante, sin capacitación de concientización del usuario que pueda ayudar a prevenirlos”.

Es decir, son muy difíciles de detectar. “Un dispositivo se infecta simplemente al entrar en contacto con un código malicioso, y no requiere la intervención del usuario para completar el proceso de infección”, recalca Andy Norton, European Cyber Risk officer para Armis.

Y esto es así porque se instala en el dispositivo sin que haya interacción por parte de la víctima de dicho ataque, es decir, el usuario no tiene que pulsar sobre ningún tipo de botón o icono para que se instale en el dispositivo. “Al malware que hace uso de este tipo de técnica se le denomina Malware Zero Click, y permite infectar y comprometer un dispositivo fácilmente sin interacción por parte del usuario, y dejando pocos eventos en el dispositivo, por lo que dificulta traquear posteriormente la actividad inicial”, apostilla a todo lo anterior José Luis Paletti, Senior Security sales engineer de WatchGuard-Cytomic.

Modus operandi

La realidad es que los ataques cero clic no son nuevos; y también que tienen una víctima por excelencia: los dispositivos móviles, “dada la facilidad de implantación”, sostiene aquel especialista de Watchguard-Cytomic. En su opinión, estos ataques se apoyan en las vulnerabilidades del software que, sobre todo en dispositivos móviles, se corrigen en un plazo de tiempo más largo. “Suelen venir implementados en mensajes que llegan al dispositivo o incluso mensajes de llamadas de voz, MMS, videoconferencias, WhatsApp, Telegram, etc.”.

Es decir, amenazas que se nutren de vulnerabilidades no parcheadas. “Es decir, un fallo o bug que existe en el código de una aplicación o sistema operativo que es aprovechada por un atacante para tomar su control”, explica José de la Cruz, director técnico de Trend Micro Iberia.

En consecuencia, y siempre según aquel especialista, una vez que se efectúa el ataque, que efectuarse de múltiples maneras —a través de un mensaje que se aproveche de una aplicación de mensajería vulnerable, a través de la red del dispositivo desde Internet, etc.—, “el atacante tendría el control del sistema para llevar a cabo lo que le interese, por ejemplo: robar información, instalar herramientas de control remoto, etc.

Como ejemplo, José Luis Paletti cita el del software Pegasus, “que se vale de una de estas vulnerabilidades y técnicas para desplegar su software en terminales iPhone con sistemas operativos inferiores a IOS 15”.

De ahí que por eso sean tan peligrosos, “porque pueden saltarse algunas de las medidas de seguridad implementadas por el software vulnerable y permitir la ejecución de código malicioso. Respecto a su detección, esta dependerá de las soluciones de seguridad utilizadas y de su configuración”, reconoce Josep Albors, responsable de Investigación y Concienciación de ESET España.

Maneras de combatirlos

Martin Zugec es de la opinión de que, contrariamente a la creencia popular, las brechas de seguridad se pueden prevenir. “La mejor protección contra los ataques modernos es implementar una arquitectura de defensa en profundidad”, dice. Para ello, según su opinión, hay que comenzar con la reducción de la superficie de ataque, combinada con controles de prevención automatizados para evitar la mayoría de los incidentes de seguridad. “En el caso de los pocos incidentes que atraviesan las defensas, se debe confiar en las operaciones de seguridad, mejoradas con excelentes herramientas de detección y respuesta”, añade.

A lo que Josep Albors agrega que el uso de soluciones de seguridad que sean capaces de detectar comportamiento sospechoso, incluso de aplicaciones legítimas. “Se pueden detectar estos ataques cuando intentan acceder al sistema vulnerable o realizar movimientos laterales dentro de una red. No obstante, en ocasiones es importante saber configurar estas soluciones y contar con personal capacitado para interpretar la información obtenida”.

Puede leer aquí el reportaje completo.