Saltar al contenido principal

Ataques de watering hole - Comprometiendo sitios de confianza

Lectura de 2 min aprox.

Un ataque de abrevadero (watering hole attack) es un tipo de ataque dirigido en el que los atacantes identifican y comprometen de antemano los sitios web que los empleados de una organización o sector visitan con frecuencia, para luego infectar los dispositivos de los visitantes con malware. El nombre proviene de la analogía de un depredador que acecha en un abrevadero donde se reúnen los animales salvajes. También en 2024 se confirmaron ataques de abrevadero por parte de grupos patrocinados por estados en varios sitios de asociaciones sectoriales, lo que demuestra que sigue siendo una técnica muy activa.

Casos de uso reales

«El portal para miembros de una asociación sectorial fue comprometido y se distribuyó malware a los dispositivos de tres de nuestros empleados. Los atacantes realizaron un ataque selectivo, entregando el exploit solo al tráfico procedente de nuestro rango de direcciones IP, por lo que a los usuarios comunes se les mostraba una página normal y la detección se retrasó.»

Flujo del ataque de abrevadero

Investigar los sitios que los empleados de la organización objetivo suelen visitar
Explotar las vulnerabilidades del sitio objetivo para incrustar un script malicioso
Entregar el malware solo al tráfico procedente del rango de IP del objetivo
Los dispositivos de los empleados se infectan con malware, lo que permite la intrusión en la red interna

Cómo se desarrolla el ataque

Primero, los atacantes investigan los sitios de noticias del sector, los foros técnicos y los sitios de asociaciones sectoriales que los empleados de la organización objetivo visitan con frecuencia. A continuación, explotan las vulnerabilidades de esos sitios para incrustar scripts maliciosos. Al realizar un «ataque selectivo» que entrega el malware solo al tráfico procedente del rango de direcciones IP de la organización objetivo, evaden la detección por parte de los investigadores de seguridad. A diferencia del spear phishing, lo problemático es que no puede bloquearse con filtros de correo electrónico.libros de introducción a los ataques dirigidos (Amazon) permiten aprender de forma sistemática.

Medidas de defensa

Defenderse de los ataques de abrevadero requiere un enfoque de varias capas. Mantén los navegadores y los complementos actualizados para cerrar las vulnerabilidades distintas de los días cero, y utiliza proxies web y entornos aislados (sandbox) para detectar la ejecución de scripts sospechosos. A nivel de red, detectar patrones de comunicación anómalos con IDS/IPS resulta eficaz. Supervisa el comportamiento del malware con un EDR (Endpoint Detection and Response) en los endpoints y procura detectar las infecciones de forma temprana. También es importante proteger cada cuenta con una contraseña fuerte y única para cada servicio, evitando que el daño se propague tras una infección de malware.libros sobre contramedidas contra el malware (Amazon) también son referencias útiles.

Términos relacionados

¿Te resultó útil este artículo?

XHatena