Un ataque pirata convierte más de 11.000 'webs' en focos de virus
Uno de los servidores ha sido neutralizado - España, el segundo país más perjudicado
Un ataque pirata ha logrado convertir 11.179 webs en herramientas para infectar las máquinas de los internautas que las visiten. España es el segundo país, después de Italia, más perjudicado por este ataque. Ayer tarde, uno de los servidores que albergaba el programa usado para el contagio había sido neutralizado. Se hallaba en el Estado norteamericano de Virginia. Los expertos calculan que algo más de un 6% de los internautas españoles que visiten estas páginas serán contagiados por un programa malicioso (malware) que se adueñará remotamente del ordenador.
El ataque ha consistido en colocar en las webs víctimas un enlace a un servidor que alberga un programa MPack. "MPack identifica y aprovecha los fallos del navegador del visitante para instalar un troyano en su ordenador", explica Jorge Ortiz, experto en seguridad de HP. Ni el responsable de la web atacada ni el propietario del ordenador infectado advierten el problema. Los troyanos son malware que se alojan en la máquina víctima y permiten el control externo de la misma para recabar datos o emplearla remotamente sin que el anfitrión advierta la situación.
La repercusión final del ataque es notable. "Siendo conservadores, sólo que estos 11.000 sitios reciban 10 visitas diarias cada uno de media, y la mitad de estas visitas sean vulnerables, podría haber 50.000 ordenadores infectados por día", calcula Ortiz. Bernardo Quintero, de la empresa de seguridad Hispasec, explica que "todas las vulnerabilidades aprovechadas en este ataque corresponden a problemas de Windows que fueron corregidos por Microsoft durante 2006. Quiere decir que los usuarios infectados no han actualizado su sistema operativo durante, al menos, todo el 2007". Eso explica que en España este ataque sólo haya infectado al 6% de los visitantes. "Si hubieran utilizado vulnerabilidades más recientes el porcentaje podría ser superior".
La versión de MPack del ataque es la 0.86. "Ya hay una nueva versión, la 0.90, que se puede adquirir en foros underground por mil dólares". En ella, los creadores rusos han introducido mejoras que aprovechan vulnerabilidades más recientes.
Para Quintero, este episodio es uno más de los muchos que se suceden. "La diferencia es que en éste, los atacantes han cometido un fallo, y hemos podido acceder a su servidor central y ver las estadísticas". Por esta razón, el seguimiento del problema se produce con una precisión inédita. Se conocen las webs comprometidas y los internautas infectados en cada una de ellas. "No se puede negar que se trata de un ataque de una magnitud considerable", comenta Quintero, "pero en estos momentos es probable que haya ataques similares o más voluminosos de los que no tenemos conocimiento".
Sergio de los Santos, de Hispasec, comenta que la alerta informática se disparó el lunes, pero probablemente la infraestructura llevaba ya más de tres días operativa. En su seguimiento de los sitios españoles atacados, el de la actriz Marta Torné ha sido el sexto, en el Top Ten de los más dañinos. Advertido su responsable de que albergaba involuntariamente un virus nocivo, el sitio oficial de la actriz está inactivo y anuncia su renovación. Las webs atacadas albergan contenidos y servicios de todo tipo.
"Cosas así pasan todos los días", comenta Francisco Montserrat Coll, del IRIS-CERT. "Hay muchos servidores web que no tienen seguridad", explica Montserrat. "La tendencia, era hacerles defacements, lo que significa asaltar el sitio inseguro y cambiar su portada. Después, empezaron a cambiar páginas interiores en vez de la principal. Si al cabo de 15 días los responsables del sitio no se había dado cuenta, significaba que era un servidor descuidado y los criminales lo vendían en el mercado negro". El hecho de que hayan asaltado más de 10.000 webs tampoco sorprende a los expertos. Según Alberto López, del CERT del Inteco, "hay servidores que alojan cientos de webs. Sólo con comprometer uno o dos grandes ya tienen a su disposición miles de sitios". No han atacado por países, añade Montserrat. "No han ido a por países sino a por servidores que tuviesen la vulnerabilidad que estaban explotando".
Panda Software denunció tiempo atrás en un informe que hay 366.000 webs comprometidas en todo el mundo, que habían infectado a casi dos millones de máquinas. Aún se está investigando el procedimiento que siguen para entrar en las webs, explica Luis Corrons, director técnico de Panda Software. "Lo que sí sabemos es que si el servidor estuviese actualizado y fuese seguro esto no debería pasar".
