#MundoHacker: Malware en publicidad, malvertising

¡Cuidado, su PC tiene virus! Descargue esta herramienta. Limpiamos su ordenador de forma gratuita. Navegue de forma segura con esta barra de direcciones. Descarga gratuita. Ver vídeo online. Introduzca su número de teléfono para continuar. Actualice ahora mismo a la última versión de Adobe Vídeo Player ¿Le suenan estas llamadas a la acción?

adware_popup

En efecto, estamos ante los clásicos anuncios de internet. Anuncios cuyo fin no es ayudarnos, y que pueblan la mayoría de webs a las que accedemos habitualmente.

Continuamos con la serie #MundoHacker, para hablar de uno de los principales vectores de ataque a nuestros dispositivos: el malware difundido mediante publicidad, llamado malvertising, y que afecta tanto a la navegación web como a la publicidad en aplicaciones. Veamos cómo funciona.

¿Qué es el malvertising, y en qué se diferencia del adware?

Aunque muchas veces los dos términos se utilicen indistintamente, lo cierto es que cada uno tiene sus propias características.

En la imagen que acompaña el artículo vemos lo que bien podríamos definir como adware. Se trata de publicidad, bien sea inpage o lanzada mediante un popup, cuyo objetivo es atraer la atención del visitante para que este realice alguna acción. No tienen porqué ser maliciosos, aunque es habitual que utilicen técnicas que podríamos considerar poco éticas y muy invasivas (por ejemplo, cambiarte la página principal por otra que te muestra la publicidad, o abrirte sin consentimiento nuevas pestañas).

Además, y en el caso de que necesiten ser instaladas, muchas de ellas aplican principios de ingeniería social para engañar al usuario (por ejemplo, no dejando claro qué se está instalando, o estando ocultas en otra descarga legítima).

Quizás las más clásicas entre los clásicos sean las barras de herramientas (toolbars) con ese dichoso Babylon Search a la cabeza que resulta tan complicado de desinstalar una vez la víctima ha caído en la trampa.

Frente al adware, tenemos el malvertising, que por lo general, no requiere de una instalación, y esta vez sí, se aprovecha de vulnerabilidades del sistema/navegador o plugins desactualizados para instalarse. Este sí es siempre malicioso (hablamos de un malware), y habitualmente tiene como objetivo recopilar datos del usuario y revenderlos a terceros.

¿Cómo se propagan?

Para colmo, se propagan en plataformas de publicidad legítimas, por lo que es posible llegar a encontrar malvertising en webs de la talla de Youtube o Amazon, aprovechándose de los inmensos recursos con los que cuenta la industria del malware para realizar pujas por espacios de publicidad muy rentables por encima de agencias y particulares (real time bidding).

Al visitar una página que tiene publicidad, el sistema de publicidad de la misma analiza la información pública del visitante (navegador, IP, plugins, hora, localización,…), que es aprovechada por ese anuncio malicioso para explotar alguna vulnerabilidad del sistema de ese usuario e instalar malware.

Todo se hace por tanto sin tener que hacer click en ningún anuncio, y de forma totalmente opaca al navegante, que seguirá disfrutando de la página sin saber que ha sido víctima de una infección.

Las plataformas de publicidad destinan muchos recursos a evitar el uso malintencionado de sus espacios, pero como suele ocurrir en la industria, los malechores siempre van un paso por delante, por lo que en la práctica cualquier web con publicidad puede transformarse en un vector de ataque.

Esto mismo puede aplicarse a toda la publicidad ofrecida dentro de otros servicios o aplicaciones, como las que podemos encontrar en Android (y en menor medida en iOS) o en herramientas como Skype.

¿Cómo evitar ser víctima de un ataque de malvertising?

Aunque nunca estaremos libres de peligro, como usuarios si podemos imponer algunas medidas para disminuir notablemente el riesgo de un ataque de este tipo.

La primera es tener tanto el sistema, como el servicio y los plugins que utilice actualizados desde la fuente original (nada de anuncios mostrados en una página). Si hablamos de un navegador, cerciorarnos de que tenemos la última versión disponible, y habilitar la extensiones justas y necesarias para el día a día, pudiendo activarlas y desactivarlas cuando no las necesitemos.

Es importante este segundo hecho, ya que no es raro que una extensión de navegador con bastante éxito en el mercado acabe siendo vendida a terceros, que pueden estar o no interesados en aprovecharla como un vector de ataque. Como ya explicaba hace tiempo, existe una brecha considerable entre las obligaciones de un desarrollador de plugins y extensiones y sus privilegios, lo que les permite a muchos vender su producto sin tener que avisar, y siendo entonces gestionado por otra compañía que hace y deshace lo que quiera con todos sus usuarios.

La función Click to play, que tienen todos los navegadores actuales, nos permite asegurarnos que sólo se activan los plugins cuando nosotros queramos que se activen. Para ponerla en funcionamiento, tendrá que buscarla por ajustes:

  • En el caso de Chrome, la opción está en Configuración > Mostrar opciones avanzadas > Privacidad > Configuración de contenido > Complementos, como vemos en la siguiente imagen. Por defecto viene desactivada.

PabloYglesias-Chrome-ClickToPlay

  • En el caso de Firefox, tendremos que escribir about:config en la barra de URLs, aceptar que entramos en una zona de configuración avanzada, buscar plugins.click_to_play, y cambiar el estado de False a True, como vemos en la imagen. Por defecto (y en versiones dirigidas a todo el público) también viene desactivada.

PabloYglesias-Firefox-ClickToPlay

Aunque no sea totalmente eficaz (no es el primer caso de falsos positivos) confiar en los bloqueadores de páginas que pueden contener malware mostrados tanto por el navegador, como por el sistema operativo o la suite de seguridad que estemos utilizando. Y realizar visitas a páginas que suelen tener un mayor índice de riesgo (como páginas de pornografía o descargas) desde navegadores y pestañas de incógnito con los niveles de seguridad altos, que no guarden nuestros datos y que tampoco cuenten con extensiones, siempre y cuando estén actualizados.

Con estos tres pasos minimizamos considerablemente el problema, a la vez de recuperar parte del control de lo que ocurre en nuestro dispositivo (lo que en la práctica pasa por un ahorro de datos y menos publicidad invasiva).

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias