Watering Hole: la espera de potenciales víctimas, del reino animal a la ciberseguridad

Watering Hole: la espera de potenciales víctimas, del reino animal a la seguridad

En ciberseguridad, muchos términos usados para referir ataques y sus características provienen de otros ámbitos. Watering hole es uno de ellos: conoce su origen en el reino animal y cómo se aplica a las técnicas usadas por los cibercriminales.

En ciberseguridad, muchos términos usados para referir ataques y sus características provienen de otros ámbitos. Watering hole es uno de ellos: conoce su origen en el reino animal y cómo se aplica a las técnicas usadas por los cibercriminales.

En el ámbito de la ciberseguridad se van introduciendo nuevos conceptos para identificar amenazas que se desarrollan y evolucionan continuamente. Por ejemplo, podríamos acuñar el término “ransomworm” para las nuevas familias de ransomware (como WannaCryptor) que poseen características de gusano informático (worm), es decir, la capacidad de propagarse de forma automática a través de la explotación de vulnerabilidades.

Del mismo modo, ideas de otros ámbitos pueden aplicarse para hacer referencia a características de las amenazas o ataques; por ejemplo, la expresión “low-hanging fruit” hace referencia a objetivos que se pueden lograr con relativa facilidad, aplicando el mínimo esfuerzo para conseguirlos.

El concepto puede aplicarse en los ataques que emplean técnicas relativamente sencillas, que permiten a los atacantes obtener acceso a sistemas e información debido a configuraciones erróneas o la falta de aplicación de actualizaciones.

Partiendo de estas ideas, a continuación vamos a hablar de una expresión que, si bien ya se utiliza en el argot de la ciberseguridad desde hace algunos años, observamos que continúa vigente para referir principalmente a operaciones de propósitos específicos. Se trata de “watering hole”.

El concepto de watering hole aplicado a la ciberseguridad

Recientemente investigadores de ESET mostraron ataques que operan bajo un método conocido con anterioridad: los sitios web son modificados con propósitos maliciosos, mientras que los atacantes se encuentran a la espera de las potenciales víctimas, como depredadores.

en vez de hacer campañas de propagación, esperan las visitas habituales a las páginas alteradas

De esta forma, no necesitan lanzar campañas de propagación, sino que se encuentran a la espera de visitas habituales de los usuarios a las páginas que han sido alteradas.

Se trata, en efecto, del ataque denominado watering hole. El término se utiliza de distintas formas en función del contexto; sin embargo, posee una connotación general que suele ser aplicada en varios ámbitos, tal como ocurre en el campo de la ciberseguridad.

El concepto hace referencia a la forma en la cual los felinos suelen atrapar a sus víctimas sin la necesidad de salir a cazar; en su lugar, permanecen a la espera de que visiten una concavidad en la que pueden encontrar agua estancada.

Por supuesto, las potenciales víctimas llegan en busca de agua para beber, sin saber que son acechadas.

La idea aplicada a la seguridad indica que los sitios web son alterados para llevar a cabo alguna actividad maliciosa, mientras que los usuarios que usualmente visitan las páginas ignoran que se encuentran ante una amenaza.

Una vez que los atacantes han identificado a su objetivo, se suele modificar un sitio que probablemente será visitado por la potencial víctima; a través de la inserción de fragmentos de código en la página, el visitante es redirigido hacia un servidor malicioso. También se busca explotar alguna vulnerabilidad en el navegador del usuario.

Destaca que en el uso de esta técnica un tercero en cuestión debe ser atacado previamente para que el objetivo en primordial pueda ser comprometido.

Por lo tanto, la idea principal de watering hole es que la víctima sea quien llegue hacia el sitio comprometido, a diferencia de los ataques donde se busca llegar a la potencial víctima, por ejemplo, a través del envío de correo electrónicos con archivos maliciosos adjuntos o enlaces hacia sitios que alojan malware o alguna campaña de phishing.

En el mismo contexto, la efectividad del ataque se centra en la confianza de los usuarios que habitualmente visitan los sitios que pudieron haber sido comprometidos con anterioridad, por lo que no suele haber un sospecha previa. Por esta razón, las víctimas no cuentan con los indicios para identificar las actividades maliciosas.

Mitigación de los ataques watering hole

Parte importante en las actividades de mitigación de este tipo de ataques se relaciona directamente con la seguridad de los sitios web y las prácticas en el desarrollo seguro de las páginas, así como auditorías continuas en busca de vulnerabilidades que puedan ser aprovechadas por atacantes, ya que el sitio podría convertirse en un medio para ellos.

Por otro lado, desde la perspectiva de los usuarios, las prácticas se centran en las medidas de seguridad aplicadas en el navegador, especialmente cuando se visitan los sitios que pueden resultar confiables.

Las actualizaciones se vuelven una tarea fundamental, así como la aplicación de configuraciones como el bloqueo de la ejecución automática de código de lenguajes de scripting.

Discusión