Inicio > Blog

23 Jul INCIBE

Ataques ‘Watering hole’: en qué consisten y cómo protegerse


Los ataques ‘Watering hole’ o ataques de abrevadero, llamados así por la similitud de un depredador acechando a la presa en un abrevadero, son una de las técnicas más sofisticadas empleadas por los ciberatacantes. Su complejidad es directamente proporcional a su alta tasa de éxito y eficiencia, siendo uno de los ataques más difíciles de detectar y detener que acechan actualmente a las compañías.

¿En qué consiste?

Este tipo de ataques están enfocados a compañías, con altos niveles de seguridad, en las que los usuarios visitan asiduamente sitios web de confianza relacionados con el contenido de la organización. Estos sitios web, han sido previamente estudiados e infectados por los atacantes, quienes suelen realizar primero un perfil de las potenciales víctimas llevando a cabo un estudio de sus costumbres. Una vez el empleado de la compañía objetivo visite el sitio web infectado, como suele hacer a menudo, infectará su equipo con malware que permitirá a los atacantes tomar el control del equipo del empleado y poder así espiar y robar información de la compañía.

Fundamentos de éxito en el ataque

Estos ataques basan una gran parte de su éxito en la confianza, ya que los usuarios que visitan estos sitios asiduamente, bajan el nivel de atención en seguridad al ser sitios que visitan diariamente. Estas webs generalmente se encuentran incluidas, incluso en listas blancas de navegación por los equipos de seguridad informáticos de la empresa.

Para evitar la detección por los sistemas de seguridad corporativos, los ciberdelincuentes suelen emplear vulnerabilidades de día 0, es decir, que aún no se han comunicado a empresas de seguridad informática y fabricantes para poder crear herramientas de detección y mitigación.

Además, esperar a las potenciales víctimas en la web de terceros, les permite mantener un perfil bajo, sin hacer campañas de malware, lo que a su vez les hace más invisibles y difíciles de detectar y rastrear.

¿Cómo funciona?

Una vez que se ha fijado el objetivo del ataque, los ciberdelincuentes, centran sus esfuerzos en observar el tráfico de la compañía a atacar, haciendo especial hincapié en aquellos sitios visitados asiduamente y recogiendo la mayor información posible para crear un perfil concreto de la víctima.

Cuando el usuario seleccionado visita la web de confianza, los ciberatacantes, tratan de explotar las vulnerabilidades de su navegador y al mismo tiempo, le redirigen a un servidor malicioso donde podrán instalarle un malware que permita el control del equipo.

Medidas de protección

Para las compañías objetivo de estos ataques resulta especialmente complicado detectar y mitigar estas situaciones, pues dependen de webs de terceros sobre las que, en ocasiones, no tienen control. En otros casos donde las webs son corporativas, debe prestarse especial atención a las vulnerabilidades del sitio, realizando continuas auditorias, manteniendo el gestor de contenidos actualizado y creando las paginas mediante prácticas seguras de desarrollo.

Por la parte de los usuarios, los equipos de TI, deben prestar atención a la seguridad implementada en los distintos tipos de navegador empleados y en las continuas actualizaciones del software de sus equipos.

Por otro lado, tampoco debemos olvidar bloquear la ejecución automática de lenguajes de scripting en los navegadores.

Además, si la compañía implementa restricciones de navegación, es buena idea revisar las listas blancas de vez en cuando para comprobar que apunten a los sitios adecuados.

Y por último, no debemos olvidar la concienciación a los empleados y hacerles partícipes de este tipo de ataques. Esto hará que los usuarios estén alerta ante cualquier actividad sospechosa o fuera de lo común para que puedan notificarlo rápidamente a los departamentos informáticos y que puedan tomar medidas lo antes posible.

Si tú también quieres estar al día de toda la actualidad en materia de seguridad puedes suscribirte a nuestros boletines o al perfil de twitter @ProtegeEmpresa y Facebook. Bajo la etiqueta #CiberCOVID19 encontrarás contenido específico para mantener la seguridad de tu empresa durante esta situación excepcional.

 

Volver al blog

Enlaces

¿Quienes somos?

Somos una consultora legal en Privacidad, especialistas en Protección de datos.

icono-serproseg

Servicios SERPROSEG

Protección de datos
DPD
Reputación en Internet
Propiedad industrial
Emisión de certificados digitales
Emisión de sello electrónico
Emisión de marca de tiempo
 

Otros Servicios

Destrucción documental certificada
Autenticación de doble canal 
Backups: a prueba de ransomware 
Securización de WI-FI publica (HOT SPOT) 
Dominios y hosting 
Web master
R.R.S.S. 
Mantenimiento informático
Antivirus profesionales 
Laboratorio informático pericial 
Respuesta ante incidentes de seguridad 
Consultoría de seguridad, sistemas y comunicaciones 
Análisis forense, peritaje informático y tasación 
Desarrollo de herramientas de seguridad a medida 
Soporte en seguridad perimetral, sistemas y comunicaciones
Securización de infraestructuras y sistemas 
Auditoría de seguridad y hacking ético
Telefonía IP y soluciones Cloud