Un ataque pirata convierte m¨¢s de 11.000 'webs' en focos de virus

Un ataque pirata ha logrado convertir 11.179 webs en herramientas para infectar las m¨¢quinas de los internautas que las visiten. Espa?a es el segundo pa¨ªs, despu¨¦s de Italia, m¨¢s perjudicado por este ataque. Ayer tarde, uno de los servidores que albergaba el programa usado para el contagio hab¨ªa sido neutralizado. Se hallaba en el Estado norteamericano de Virginia. Los expertos calculan que algo m¨¢s de un 6% de los internautas espa?oles que visiten estas p¨¢ginas ser¨¢n contagiados por un programa malicioso (malware) que se adue?ar¨¢ remotamente del ordenador.

El ataque ha consistido en colocar en las webs v¨ªctimas un enlace a un servidor que alberga un programa MPack. "MPack identifica y aprovecha los fallos del navegador del visitante para instalar un troyano en su ordenador", explica Jorge Ortiz, experto en seguridad de HP. Ni el responsable de la web atacada ni el propietario del ordenador infectado advierten el problema. Los troyanos son malware que se alojan en la m¨¢quina v¨ªctima y permiten el control externo de la misma para recabar datos o emplearla remotamente sin que el anfitri¨®n advierta la situaci¨®n.

La repercusi¨®n final del ataque es notable. "Siendo conservadores, s¨®lo que estos 11.000 sitios reciban 10 visitas diarias cada uno de media, y la mitad de estas visitas sean vulnerables, podr¨ªa haber 50.000 ordenadores infectados por d¨ªa", calcula Ortiz. Bernardo Quintero, de la empresa de seguridad Hispasec, explica que "todas las vulnerabilidades aprovechadas en este ataque corresponden a problemas de Windows que fueron corregidos por Microsoft durante 2006. Quiere decir que los usuarios infectados no han actualizado su sistema operativo durante, al menos, todo el 2007". Eso explica que en Espa?a este ataque s¨®lo haya infectado al 6% de los visitantes. "Si hubieran utilizado vulnerabilidades m¨¢s recientes el porcentaje podr¨ªa ser superior".

La versi¨®n de MPack del ataque es la 0.86. "Ya hay una nueva versi¨®n, la 0.90, que se puede adquirir en foros underground por mil d¨®lares". En ella, los creadores rusos han introducido mejoras que aprovechan vulnerabilidades m¨¢s recientes.

Para Quintero, este episodio es uno m¨¢s de los muchos que se suceden. "La diferencia es que en ¨¦ste, los atacantes han cometido un fallo, y hemos podido acceder a su servidor central y ver las estad¨ªsticas". Por esta raz¨®n, el seguimiento del problema se produce con una precisi¨®n in¨¦dita. Se conocen las webs comprometidas y los internautas infectados en cada una de ellas. "No se puede negar que se trata de un ataque de una magnitud considerable", comenta Quintero, "pero en estos momentos es probable que haya ataques similares o m¨¢s voluminosos de los que no tenemos conocimiento".

Sergio de los Santos, de Hispasec, comenta que la alerta inform¨¢tica se dispar¨® el lunes, pero probablemente la infraestructura llevaba ya m¨¢s de tres d¨ªas operativa. En su seguimiento de los sitios espa?oles atacados, el de la actriz Marta Torn¨¦ ha sido el sexto, en el Top Ten de los m¨¢s da?inos. Advertido su responsable de que albergaba involuntariamente un virus nocivo, el sitio oficial de la actriz est¨¢ inactivo y anuncia su renovaci¨®n. Las webs atacadas albergan contenidos y servicios de todo tipo.

"Cosas as¨ª pasan todos los d¨ªas", comenta Francisco Montserrat Coll, del IRIS-CERT. "Hay muchos servidores web que no tienen seguridad", explica Montserrat. "La tendencia, era hacerles defacements, lo que significa asaltar el sitio inseguro y cambiar su portada. Despu¨¦s, empezaron a cambiar p¨¢ginas interiores en vez de la principal. Si al cabo de 15 d¨ªas los responsables del sitio no se hab¨ªa dado cuenta, significaba que era un servidor descuidado y los criminales lo vend¨ªan en el mercado negro". El hecho de que hayan asaltado m¨¢s de 10.000 webs tampoco sorprende a los expertos. Seg¨²n Alberto L¨®pez, del CERT del Inteco, "hay servidores que alojan cientos de webs. S¨®lo con comprometer uno o dos grandes ya tienen a su disposici¨®n miles de sitios". No han atacado por pa¨ªses, a?ade Montserrat. "No han ido a por pa¨ªses sino a por servidores que tuviesen la vulnerabilidad que estaban explotando".

Panda Software denunci¨® tiempo atr¨¢s en un informe que hay 366.000 webs comprometidas en todo el mundo, que hab¨ªan infectado a casi dos millones de m¨¢quinas. A¨²n se est¨¢ investigando el procedimiento que siguen para entrar en las webs, explica Luis Corrons, director t¨¦cnico de Panda Software. "Lo que s¨ª sabemos es que si el servidor estuviese actualizado y fuese seguro esto no deber¨ªa pasar".