Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Email Collaboration Threat Protection

    ¿Qué es un ataque de riego y cómo prevenirlo?

    Al igual que un león ataca a un antílope en su abrevadero favorito, los ciberdelincuentes están al acecho en sus sitios web y herramientas favoritas

    by Giulian Garruba

    Key Points

    • Al haber utilizado un sitio web con frecuencia, las víctimas de un ataque por agujero de riego rara vez se lo piensan dos veces sobre su seguridad, lo que les deja vulnerables a ataques sorpresa procedentes de diversas fuentes.
    • Por lo general, los ataques de tipo watering hole se desarrollan en cuatro pasos cuyo objetivo es vigilar, analizar y ejecutar uno de los muchos tipos de exploits de la Web.
    • Identificar los ataques de abrevadero puede ser sencillo con la educación, la inteligencia y las herramientas adecuadas.

    Los ciberataques han aumentado exponencialmente en sofisticación durante la última década, dejando a muchas organizaciones luchando por mantener la seguridad de la red y de los datos a medida que surgen nuevas amenazas desconocidas hasta ahora. Términos como malware, phishing e incluso ataques de denegación de servicio son familiares para la mayoría de la gente. Sin embargo, otros términos, como los ataques de abrevadero, pueden ser totalmente nuevos.

    A continuación, investigamos qué son los ataques de tipo "watering hole", cómo funcionan y cómo pueden usted y su organización concienciarse de las amenazas que plantean y protegerse contra ellos.

    ¿Cómo funcionan los ataques de los agujeros de riego?

    Los ataques de abrevadero, a veces conocidos como phishing de abrevadero, toman su inspiración homónima de la naturaleza, como cuando un depredador ataca a su presa cuando se detiene en un abrevadero para beber. Piense en un león escondido en un abrevadero popular de la sabana, abalanzándose cuando un antílope desprevenido se agacha a beber. El antílope es un blanco fácil, pero el abrevadero es también un lugar donde se congregan regularmente todo tipo de animales. 

    La razón de esta analogía se hace evidente cuando definimos un ataque "watering hole" en el contexto de la ciberseguridad. Los actores de amenazas pretenden atacar a sus objetivos allí donde se congregan, normalmente en sitios web utilizados con frecuencia por el objetivo. Al haber utilizado ese sitio web con frecuencia, el objetivo rara vez se lo piensa dos veces sobre su seguridad, lo que le deja vulnerable a ataques sorpresa de diversas fuentes.

    El concepto en el que se basan los ataques de agujero de riego está claro, pero también es esencial comprender los métodos utilizados por los ciberatacantes para ponerlos en práctica y sacar provecho de ellos. Por lo general, los ataques de tipo watering hole se desarrollan en cuatro pasos cuyo objetivo es vigilar, analizar y ejecutar uno de los muchos tipos de exploits de la Web. Comúnmente, estos pasos incluyen:

    Reunir información de inteligencia mediante el rastreo 

    Los atacantes de Watering Hole comienzan por identificar un objetivo y recopilar información sobre sus hábitos de navegación en la web. Puede tratarse de sitios públicos visitados con frecuencia, sitios web específicos de la empresa o el sector, o incluso herramientas como el correo web y el almacenamiento en la nube. Los actores de las amenazas utilizan una serie de herramientas para recopilar esta información, como motores de búsqueda, páginas de medios sociales, datos demográficos de sitios web, ingeniería social, programas espía y registradores de pulsaciones de teclas.

    Analizar los sitios web en busca de vulnerabilidades 

    Una vez identificados los objetivos viables, los ciberatacantes comienzan a analizar la lista de sitios web en busca de debilidades y vulnerabilidades a nivel de dominio y subdominio. Además, se pueden crear clones de sitios web para engañar al objetivo haciéndole creer que está utilizando el sitio oficial. A veces, ambos se utilizan en tándem, comprometiendo un sitio legítimo para conducir a los objetivos a una página maliciosa.

    Preparar exploits e infectar sitios web objetivo 

    Los exploits web se utilizan para infectar los sitios web más utilizados por el objetivo. Centrándose en tecnologías como ActiveX, HTML, JavaScript, imágenes y otros vectores, los ciberatacantes pretenden comprometer los navegadores utilizados por el objetivo. Los ataques más sofisticados pueden incluso permitir a los actores infectar a los visitantes con direcciones IP específicas.

    Espere a que el objetivo descargue el malware sin sospechar nada

    La infraestructura de phishing ya está preparada y los actores maliciosos sólo tienen que esperar a que se active el malware. Esto ocurre cuando el navegador del objetivo descarga y ejecuta automáticamente, sin sospecharlo, el software preinstalado desde los sitios comprometidos. Esto funciona ya que los navegadores web suelen descargar indiscriminadamente código en ordenadores y dispositivos. 

    Cómo funcionan los ataques a pozos de agua.png
    Infografía que explica cómo funcionan los ataques por agujeros de riego

    Cómo pueden protegerse los particulares contra los ataques de los agujeros de riego

    La prevención de los ataques de "Watering Hole" para particulares consiste en mantener buenas prácticas de ciberseguridad cada vez que se está en línea. Esto significa tener cuidado con dónde y qué se pulsa mientras se navega por Internet y asegurarse de que se instala y actualiza regularmente un software antivirus de alta calidad. Las aplicaciones de protección del navegador y las VPN también pueden ser útiles, alertando a los usuarios de sitios o descargas potencialmente maliciosos y bloqueándolos por completo cuando sea necesario. 

    Cómo pueden protegerse las empresas contra los ataques de los agujeros de agua

    Las empresas pueden adoptar un enfoque más sólido para la prevención de los ataques de agujeros de agua mediante diversas herramientas y protocolos avanzados de ciberseguridad. Entre ellas se incluyen:

    • Aumentar la concienciación sobre los ataques de agujeros de riego y educar al personal mediante programas de concienciación y formación en seguridad centrados en los riesgos humanos para que puedan detectar actividades sospechosas con mayor rapidez.
    • Garantizar que todo el software, incluido el no relacionado con la seguridad, se mantiene actualizado. Los ataques de agujeros de riego buscan activamente vulnerabilidades, por lo que los escaneos regulares de vulnerabilidades y los parches de seguridad son una línea crítica de defensa.
    • Utilizar pasarelas web seguras para filtrar las amenazas basadas en la web y aplicar políticas de uso aceptable. Una pasarela web segura actúa como intermediario entre el usuario y el sitio web externo, bloqueando el tráfico de red malicioso y permitiendo al personal navegar de forma segura.
    • Garantizar que todo el tráfico que pase por la red de la organización sea tratado como no fiable hasta que haya sido validado.
    • Uso de herramientas de detección y respuesta de puntos finales para proteger a su organización de las amenazas de malware emergentes. 
    Cómo prevenir los ataques de los agujeros de riego.png
    Infografía sobre cómo prevenir los ataques de riego

    Ejemplos de ataques con agujeros de riego

    En el pasado, los ataques de agujeros de riego se han dirigido a organizaciones de alto perfil que supuestamente han implementado una protección de ciberseguridad de primera línea. Esto significa que cualquier tipo de organización puede ser vulnerable a estas amenazas persistentes avanzadas (APT). He aquí algunos ejemplos concretos de ataques de gran repercusión:

    2012 - Consejo Americano de Relaciones Exteriores

    A través de un exploit de Internet Explorer, los ciberatacantes infectaron el CFR. El phishing Watering Hole se dirigía a aquellos navegadores que sólo utilizaban determinados idiomas que podían ser explotados. 

    2016 - Autoridad financiera polaca

    Dirigido a más de 31 países, entre ellos Polonia, Estados Unidos y México, los investigadores descubrieron un kit de explotación que se había incrustado en el servidor web de la Autoridad Financiera polaca. 

    2019 - Agua bendita

    Al incrustar una ventana emergente maliciosa de Adobe Flash que desencadenaba un ataque de descarga, se infectaron docenas de sitios web religiosos, benéficos y de voluntarios. 

    2020 - SolarWinds

    La empresa de TI SolarWinds fue el blanco de un ataque de gran alcance que se prolongó durante mucho tiempo. Tras meses de trabajo de ciberinteligencia, se descubrió que agentes patrocinados por el Estado utilizaban el phishing de abrevadero para espiar a empresas de ciberseguridad, al Departamento del Tesoro y a Seguridad Nacional, entre otros.

    2021 - Hong Kong

    El Grupo de Análisis de Amenazas de Google identificó numerosos ataques "watering hole" centrados en usuarios que visitaban sitios web de medios de comunicación y pro-democracia en Hong Kong. Una vez conseguido, el malware procedía a instalar una puerta trasera en las personas que utilizaban dispositivos Apple.

    Cómo saber si ha sido víctima de un ataque en un abrevadero

    Dado que los ataques de tipo watering hole están, por su diseño, destinados a engañarnos haciéndonos creer que estamos visitando un sitio web de confianza o una fuente legítima, pueden ser difíciles de identificar inmediatamente. Si no se ha dado cuenta de que el ataque se ha producido en su origen en tiempo real, entonces el siguiente indicador probable será que sus redes empiecen a actuar de forma diferente y los datos desaparezcan o dejen de ser accesibles. Por estas razones, es fundamental extremar la vigilancia con los exploits de día cero, ya que son los vectores más comunes para el phishing de abrevadero.

    Gartner® Cuadrante Mágico™: Mimecast nombrado líder

    Mimecast reconocida una vez más por su Integridad de Visión y Capacidad de Ejecución en el Cuadrante Mágico 2025 de Gartner®™ para la Seguridad del Correo Electrónico
    Obtenga el informe

    Lo esencial

    Tal vez lo más preocupante de los ataques de agujeros de agua es que se dirigen persistentemente a lugares en los que las personas y las organizaciones han llegado a confiar. Sin embargo, identificar este ciberataque específico puede ser sencillo con la educación, la inteligencia y las herramientas adecuadas. Recuerde que las mejores prácticas de ciberseguridad están ahí por una razón y deben utilizarse sin falta.

    Preguntas frecuentes sobre el ataque al abrevadero

    ¿Pueden las pequeñas empresas ser blanco de ataques de regaderas?

    Sí, las pequeñas empresas suelen ser blanco de ataques de "watering hole" debido a que suelen contar con medidas de ciberseguridad menos sólidas en comparación con las grandes organizaciones. Los atacantes saben que las pequeñas empresas pueden carecer de equipos de seguridad informática dedicados o de los recursos necesarios para vigilar y parchear continuamente las vulnerabilidades, lo que facilita su explotación. Además, las pequeñas empresas trabajan a menudo con compañías más grandes como proveedores o socios, lo que proporciona a los ciberdelincuentes una puerta trasera potencial para entrar en estas grandes organizaciones. Por lo tanto, las pequeñas empresas deben estar atentas y aplicar protocolos de ciberseguridad sólidos para protegerse de los ataques de los agujeros de agua.

    ¿Cuáles son las características de un ataque "watering hole"?

    Los ataques de tipo watering hole suelen implicar varios tipos de malware, cada uno de los cuales sirve a un propósito diferente en la cadena de ataque:

    1. Caballo de Troya: Se trata de un tipo de malware disfrazado de software legítimo. Una vez instalado, permite a los atacantes obtener acceso no autorizado al sistema de la víctima.
    2. Registradores de teclas: Estas herramientas registran las pulsaciones de teclado realizadas por el usuario, lo que permite a los atacantes capturar información confidencial como credenciales de inicio de sesión y datos personales.
    3. Ransomware: Algunos ataques de tipo watering hole entregan ransomware, que cifra los datos de la víctima y exige un pago por su descifrado.
    4. Spyware: Este tipo de malware vigila en secreto las actividades de la víctima, recopilando información como hábitos de navegación, contraseñas y otros datos personales.
    5. Rootkits: Los rootkits se utilizan para obtener acceso a nivel de raíz al sistema de la víctima, lo que permite a los atacantes controlar el sistema de forma remota y eludir la detección por parte del software de seguridad.
    6. Puertas traseras: Estas permiten a los atacantes eludir los procesos normales de autenticación, dándoles acceso persistente al sistema incluso después de que el ataque inicial haya terminado.

    ¿Cuál es la diferencia entre los ataques watering hole y el spear phishing?

    Aunque tanto los ataques watering hole como el spear phishing son ataques dirigidos, difieren significativamente en su enfoque y ejecución:

    1. Método de ataque:
      • Ataque Watering Hole: Consiste en comprometer un sitio web legítimo que el objetivo visita con frecuencia. La víctima no es consciente de que su sitio de confianza ha sido infectado con malware.
      • Spear Phishing: Consiste en enviar a la víctima un correo electrónico dirigido, a menudo personalizado, engañándola para que haga clic en un enlace malicioso o descargue un archivo adjunto infectado.
    2. Punto de entrada:
      • Ataque Watering Hole: Consiste en comprometer un sitio web legítimo que el objetivo visita con frecuencia. La víctima no es consciente de que su sitio de confianza ha sido infectado con malware.
      • Spear Phishing: Consiste en enviar a la víctima un correo electrónico dirigido, a menudo personalizado, engañándola para que haga clic en un enlace malicioso o descargue un archivo adjunto infectado.
    3. Nivel de interacción con el usuario:
      • Ataque de agujero de riego: Es posible que la víctima no tenga que realizar ninguna acción específica aparte de visitar el sitio comprometido. El malware puede descargarse y ejecutarse automáticamente.
      • Spear Phishing: La víctima debe interactuar activamente con el correo electrónico de phishing, como hacer clic en un enlace o descargar un archivo adjunto, para iniciar el ataque.
    4. Complejidad:
      • Ataque Watering Hole: Suele ser más complejo y requiere que el atacante identifique y comprometa un sitio web de terceros.
      • Spear Phishing: Puede ser más sencillo, ya que sólo requiere un correo electrónico convincente y una carga maliciosa.

     

     

    **Este blog se publicó originalmente el 12 de marzo de 2022.

    Soluciones de protección frente a amenazas
    12BLOG_1.jpg
    Up Next
    Email Collaboration Threat Protection |
    ¿Qué es el SIEM en la nube?

    Related Articles

    Email Collaboration Threat Protection
    Qué es el correo gris y por qué es importante la detección mediante IA
    Email Collaboration Threat Protection
    La evolución de las amenazas por correo electrónico: Por qué es importante una defensa coordinada
    Email Collaboration Threat Protection
    Desbloquear una protección inigualable: Las ventajas de la integración de Mimecast con CrowdStrike

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top