La seguridad web ha sido una preocupación que ha estado por décadas con nosotros. Sin embargo, ha sido en los últimos años que el interés en este punto se ha magnificado.

Ahora, en este mundo que forzosamente ha tenido que digitalizarse a causa del COVID-19, la vida se ha convertido en una seguidilla de portales, chats y actividades digitales. Sin embargo, debido a lo apresurado del cambio, ni las plataformas ni las personas estaban listas totalmente para dar el salto.

Por esto, justo ahora los hackers o piratas digitales se aprovechan de las vulnerabilidades de seguridad de las plataformas y de la falta de información de sus usuarios para infectarlos con malwares y robar su información.

Actualmente, muchos de estos ataques se llevan a cabo, aprovechando que el mundo entero ha tenido que entrar al reino digital. Pero, el caso más reciente y notorio de esto ha sido el reportado la compañía de inteligencia de seguridad Cyble. Esta ha logrado detectar una campaña generalizada que se aprovecha de sitios web oficiales (como páginas del gobierno o de universidades reconocidas) para llevar malware a los dispositivos de los usuarios.

El inicio de todo

Vía: BleepingComputer.

Cyble notó la primera irregularidad cuando descubrió que en la página oficial de la UNESCO (UNESCO.org) había un artículo promocionando una herramienta de hackeo de cuentas en redes sociales. Para este caso específico, la herramienta decía ser útil para hackear cuentas en Instagram.

En realidad, claramente este post no pertenecía a la UNESCO, sino que había sido colocado allí por agentes malintencionados. Al hacer clic en el link ofrecido, este llevaba a los usuarios a una página insegura que pretendía ser el promocionado sistema de hackeo.

Sin embargo este, en lugar de realizar la tarea que el usuario deseaba –un proceso de hackeo de cuenta, que también se considera un acto ilegal–, aprovechaba la brecha para instalar malwares y adwares en el equipo de este.

Siguiendo el rastro

BleepingComputer, quien denunció primero esta situación, realizó un rastreo de este tipo de situaciones de la mano de Cyble. Gracias a esto, fue posible determinar que lo de la página de la UNESCO no se trataba de una eventualidad, sino de una campaña a gran escala y generalizada.

Entre los sitios afectados se encontraron las páginas gubernamentales de San Diego, Colorado y Minnesota. Igualmente, se vieron comprometidos portales como el de los Institutos Nacionales de Salud (nih.gov) y el del Instituto Nacional del Cáncer (cancer.gov). Igualmente, páginas universitarias como las de la Universidad de Washington, la Universidad Estatal de Arizona, el Instituto de Tecnología de Rochester, la Universidad de Iowa, la Universidad de Maryland y la Universidad de Michigan, también se vieron vulneradas por el ataque.

En todos los casos, los artículos que se colaron en su sitio oficial promovían herramientas falsas para hackear cuentas en diversas redes sociales. Por ahora, se ha descubierto que estas ofertas pasaban por la ya mencionada Instagram, así como por elementos relacionados como Facebook y WhatsApp, e incluso tocaban otras redes como TikTok y Snapchat. Por si fuera poco, cuentas en plataformas de streaming como Netflix también se utilizaron como carnada.

El método

Una vez las personas llegaban a los sitios webs inseguros a los que los hackers los guiaron (usando la credibilidad de los sitios oficiales de las organizaciones), las páginas se comportaban como verdaderos elementos de hackeo.

Por lo que, hasta el final pretendían estar realizando el trabajo. Sin embargo, cuando este debería estar listo, ofrecían un anuncio que indicaba que algo había salido mal. Con este, instaban a la persona a descargar un archivo (que contenía malware). Por otro lado, también podían animarla a colocar información de contacto o datos bancarios para continuar con la transacción.

Para este punto, ya fuera a través de este acto de phishing o de la acción tardía del malware, los malos actores ya tenían sus manos en los datos del desprevenido usuario.

Explotando vulnerabilidades

Para poder hacer esto, los hackers se aprovecharon de las páginas construidas en plataformas CMS, que aún tienen gran cantidad de vulnerabilidades de seguridad. Según parece, el método más común fue el utilizar el componente Webform de Drupal. De este modo se cargaban archivos PDF que contenían enlaces a las páginas falsas.

Asimismo, para aumentar su alcance, también lograron hackear los componentes SEO de estos artículos. Gracias a esto, aparecían como primera opción en Google al utilizar ciertas palabras claves genéricas como “hackeo”, “cuenta”, “usuario” o el nombre de alguna de las redes sociales antes mencionadas.