Drive-by Download: Definición, Modo de Infección y Protección

El Drive-by Download es hoy uno de los vectores de infección más utilizados por los ciberdelincuentes, y con razón: este método es terriblemente eficaz. No necesitas hacer clic en un enlace sospechoso o descargar un archivo corrupto: el simple hecho de visitar una página web comprometida es suficiente para exponerte. Sin que te des cuenta, un software malicioso puede instalarse en tu dispositivo, siendo la puerta de entrada a múltiples problemas…

Gracias a este artículo, comprenderás mejor el funcionamiento del Drive-by Download y aprenderás a protegerte eficazmente. ¡Buena lectura!

¿Qué es un Drive-by Download?

El Drive-by Download es un método de propagación de malware que se basa en la descarga furtiva e involuntaria de un archivo malicioso por parte de las víctimas. A diferencia del social engineering, por ejemplo, aquí no se requiere ninguna interacción directa del usuario.

Imagina una ventana mal cerrada en tu casa. Un ladrón aprovecha para entrar discretamente, mientras tú creías estar seguro. El Drive-by Download es algo parecido: las fallas en tu navegador o plugins obsoletos permiten a los cibercriminales instalar malware sin que te des cuenta. Muchos estudios muestran que numerosos piratas informáticos usan el Drive-by Download para propagar sus softwares maliciosos, haciendo de esta técnica una herramienta especialmente apreciada en el mundo de la ciberdelincuencia.

¿Qué familia de ciberataques permite distribuir el Drive-by Download?

La técnica de infección del Drive-by Download se utiliza para propagar una categoría específica de ciberataques: los ataques por malware, esos softwares maliciosos que se propagan sin que lo sepas, aprovechando las fallas no corregidas de tu sistema.

¿Cuáles son los objetivos de un ataque Drive-by Download?

Hay muchas víctimas potenciales de los ataques que usan el Drive-by Download. Entre ellas, encontrarás:

• Los usuarios individuales, a menudo son objetivo para robar su información personal o instalar software malicioso como ransomware, troyanos o gusanos informáticos en su ordenador.
• Las instituciones públicas como gobiernos u organismos de salud, especialmente para robar datos confidenciales o para perturbar sus operaciones.
• Las empresas, principalmente para infiltrar sus sistemas, acceder a datos sensibles o para instalar ransomware y pedir rescates a veces desorbitados.

¿Cómo funciona un Drive-by Download?

Para poder lanzar un ataque mediante Drive-by Download, los piratas informáticos usan kits de exploit para detectar y explotar vulnerabilidades de día cero. Los kits de exploit son herramientas usadas por los hackers para detectar fallas en un sistema informático que aún no han sido descubiertas y, por lo tanto, corregidas por los editores de software: hablamos entonces de vulnerabilidad de día cero.

En el caso de los ataques Drive-by Download, son sobre todo las vulnerabilidades de los navegadores web y los plugins obsoletos las que se utilizan. Una vez identificada una falla, se explota para instalar discretamente un malware en el ordenador víctima, causando diversos daños.

Caso concreto de una descarga furtiva o sigilosa

El Drive-by Download es uno de los modos de infección más extendidos, probablemente ya hayas estado expuesto. Pero, ¿cómo funciona en la práctica?

1. Primero, un pirata crea su propio código malicioso o utiliza kits de exploit; el objetivo es simple: identificar las vulnerabilidades de tu navegador o tus plugins web.
2. El hacker usa sitios legítimos para difundir su código malicioso sin que lo sepan. Esto incluye a menudo sitios creados con un CMS vulnerable o sitios que muestran publicidad que los editores no siempre pueden controlar.
3. Sin saberlo, visitas uno de estos sitios comprometidos por el pirata; el código malicioso se ejecuta e intenta encontrar las vulnerabilidades de tu sistema.
4. Si se identifica una vulnerabilidad, se explota para infectar tu dispositivo con un malware; todo se realiza en segundo plano, sin notificación, por lo que no te das cuenta necesariamente.
5. Una vez instalado, el malware empieza a causar estragos: instala una puerta trasera en tu máquina si se trata de un troyano, o empieza a cifrar tus archivos en el caso de un ransomware.

Como has podido comprender, el simple hecho de visitar un sitio web comprometido te expone a un riesgo de infección; por lo tanto, es necesario mantener tus sistemas actualizados si quieres limitar los riesgos.

¿Cuáles son los diferentes kits de exploit?

Un kit de exploit es un conjunto de herramientas usadas por hackers para automatizar la explotación de las fallas de seguridad en los navegadores o softwares. Existen varios, cada uno con sus especialidades. Además, se mejoran constantemente, permitiéndoles eludir las protecciones a veces implementadas (antivirus, cortafuegos…). Entre los kits de exploit más conocidos, encontrarás por ejemplo:

• Nuclear Exploit Kit, especialmente eficaz para distribuir ransomware y malware avanzado.
• Rig Exploit Kit, que se centra principalmente en las vulnerabilidades de los lenguajes informáticos Flash y Java; por ejemplo, se ha utilizado para distribuir el ransomware REvil.
• Angler Exploit Kit, muy eficaz para las infecciones por Drive-by Download, ya que es capaz de eludir muchas soluciones de seguridad.

¿Cuáles son los medios de infección de un Drive-by Download?

Varias técnicas permiten infectar un dispositivo a través de un Drive-by Download. Entre las principales, encontrarás:

• El malvertising, es decir, el hecho de inyectar publicidad maliciosa en sitios legítimos. El simple hecho de mostrar estos anuncios permite instalar el malware, sin que el usuario tenga que interactuar.
• Los correos electrónicos de phishing que te incitan a hacer clic en enlaces maliciosos que desencadenan la infección.
• La inyección de scripts XSS (Cross-Site Scripting) en sitios web, diseñados para iniciar la descarga de un malware tan pronto como un usuario accede a una página corrupta.
• Las descargas automáticas a través de las fallas de seguridad no corregidas de los navegadores web o sus plugins.

¿Cuáles son las consecuencias de un Drive-by Download?

El Drive-by Download puede tener numerosas consecuencias, cuyo impacto es a veces duradero, tanto para particulares como para organizaciones:

• La infección de tu máquina por malware, como software espía, ransomware, gusanos informáticos o troyanos.
• El dispositivo infectado puede ser controlado a distancia y unirse a un botnet para ser utilizado para difundir futuros ataques, a menudo sin el conocimiento de su propietario.
• Se pueden robar datos personales o profesionales, lo que puede tener importantes repercusiones.
• El fraude relacionado con el robo de datos o la infección por ransomware puede provocar importantes pérdidas financieras.
• Impacto negativo en la reputación de las organizaciones víctimas, especialmente en caso de fuga de datos o interrupción del servicio.

¿Quién se esconde detrás de los ataques por Drive-by Download?

Los hackers que usan el ataque Drive-by Download

Varios tipos de hackers pueden usar el Drive-by Download para difundir sus ciberataques:

• Los hacktivistas, que, motivados por razones políticas o sociales, recurren a esta técnica para sabotear los sitios de gobiernos o ciertas organizaciones.
• Los cibercriminales experimentados, organizados en grupos de hackers o actuando solos, que usan estos ataques para difundir malware (especialmente ransomware) o robar información sensible para obtener un beneficio financiero.
• Gracias a la popularización de los kits de exploit que han simplificado los procedimientos, los piratas más aficionados también pueden recurrir al Drive-by Download sin demasiadas dificultades.

Los ejemplos más significativos de Drive-by Download

Entre los ciberataques que han marcado la historia de la ciberseguridad, algunos recurrieron precisamente al Drive-by Download para infectar a sus víctimas:

• En 2011-2012, el troyano FlashBack explotó una vulnerabilidad de Java para infectar dispositivos que funcionaban con MacOS sin necesidad de ninguna intervención del usuario. Las máquinas infectadas, que se estiman en más de 600 000, se unieron a un botnet que luego se utilizó para difundir ciberataques, como ataques DDoS.
• En 2019, el Drive-by Download junto con el malvertising permitió difundir el ransomware REvil, también llamado virus Sodinokibi, en muchos países de Asia. Se explotaron entonces las vulnerabilidades de Flash en el navegador Internet Explorer para infectar los ordenadores víctimas.

¿Cómo protegerse de los ciberataques por Drive-by Download?

Los navegadores y las empresas de publicidad han implementado medidas de seguridad y herramientas de bloqueo automáticas para contrarrestar los scripts maliciosos y limitar el malvertising. Pero el riesgo cero no existe, y es por eso que debes adoptar ciertas buenas prácticas para protegerte del Drive-by Download:

• Actualiza regularmente tus navegadores y tus plugins, lo que permitirá corregir sus vulnerabilidades antes de que sean explotadas por los hackers.
• Usa un antivirus robusto, que haya demostrado su eficacia y que se mejore regularmente para poder seguir protegiéndote eficazmente frente a las amenazas emergentes.
• Realiza análisis de vulnerabilidades regulares para detectar softwares sospechosos que podrían haber infectado tu ordenador sin que te des cuenta.
• Activa un bloqueador de publicidad para limitar tu exposición al malvertising.
• Forma a tus colaboradores en ciberseguridad para aprender a proteger eficazmente tu empresa frente a un gran número de amenazas.

Preguntas frecuentes sobre el ataque Drive-by Download