Cuando las búsquedas atacan: los piratas ahora se valen de Google

La última modalidad de los programas maliciosos le hará pensar dos veces antes de pulsar vínculos la próxima vez que realice una búsqueda.

Si el pasado mes de noviembre usted buscó en Google alguno de los miles de términos inocuos y comunes que escriben los usuarios en sus búsquedas, como “Microsoft excel a access” o “cómo enseñar a su perro a buscar cosas”, podría estar expuesto a un ataque desde Internet que infectará las PC con remitentes de correo indeseado, ladrones de contraseñas y otros desagradables programas maliciosos.

Comenzando el 24 de noviembre y continuando durante menos de una semana, los malhechores cargaron más de 40.000 páginas de la Web con software malicioso y miles de términos de búsqueda comunes. Luego usaron una red automatizada de computadoras infectadas con programas maliciosos, o botnet, para enlazarse a esos sitios en comentarios de blogs y en otros lugares. Las menciones elevaron en los resultados de búsqueda –frecuentemente a la primera página– la presencia de los sitios envenenados.

Pulse aquí si quiere un ataque gratuito

Por supuesto, los sitios maliciosos no tenían ninguna información útil. En vez de esto, bastaba con hacer un solo clic sobre un vínculo en uno de los resultados de búsqueda para iniciar ataques contra su PC. Si el ataque encontraba alguna vulnerabilidad en una serie de programas, entonces se cargaba en la PC.

“Fue una oleada masiva”, dice Alex Eckelberry, presidente y CEO de la firma de seguridad Sunbelt Software.

[<img border="0" src="/pcwla2.nsf/0/4F71386379FC45E0852573F70019F08E/$File/pag43googlemarzo08.gif">]

El ataque ha establecido un nuevo nivel de complejidad, ya que emplea técnicas comunes para elevar la presencia de determinados sitios en los motores de búsqueda a fin de enviar programas maliciosos por medio de vínculos corruptos a un gran número de personas.

Adam Thomas, un investigador de Sunbelt, se tropezó con el ataque al realizar una búsqueda de “netgear ProSafe DD-WRT” para obtener el firmware de su enrutador. Como es una persona que sabe, detectó un resultado sospechoso en la primera página. Después de investigar y profundizar un poco más, encontró un grupo extenso de sitios de ataque (find.pcworld.com/59511).

Ninguno de los sitios de esta oleada, ni un segundo grupo más pequeño, aparecen ahora en Google, por lo cual Eckelberry y otros expertos creen que el gigante de las búsquedas ha bloqueado esos dominios específicos. Pero Google no ha dicho lo que hizo para detener este ataque, o si ha tomado medidas para impedir su reaparición.

Empezó el juego: Google falló

Tres ejemplos notables indican la complejidad y la planificación de este enorme ataque. El primero es que los responsables usaron botnets para empujar una rara forma de SEO (search-engine optimization u optimización de motor de búsqueda), también conocida como una “bomba de Google”, con la finalidad de elevar la clasificación de sus sitios en Google.

“Hicieron una labor extraordinaria al utilizar los robots para optimizar los resultados de búsqueda”, dice Eckelberry.

Segundo, los sitios envenenados tenían en sus páginas un código de JavaScript diseñado para evitar que los visitantes que venían a través de otros motores de búsqueda fueran atacados; las únicas víctimas eran las que venían a través de una búsqueda de Google.

“[Este truco era una] manera de tocarle las narices a Google”, dice Eckelberry. Los expertos no conocen el móvil de estos ataques dirigidos a los usuarios de Google, pero en el pasado los malhechores de la Internet se han concentrado en compañías y sitios específicos cuando se sienten amenazados (find.pcworld.com/59512). Google recientemente presentó un formulario en línea (find.pcworld.com/59513) para reportar sitios que los usuarios de la Web crean que pueden contener software malicioso.

Tercero, las páginas manipuladas contenían código que evitaba que los sitios del ataque aparecieran en los resultados si el término de búsqueda contenía ciertas frases que los investigadores de seguridad utilizan normalmente. Eckelberry había escrito recientemente sobre el uso de “inurl” y “site”, los dos términos excluidos.

A pesar de que Google tomó medidas para eliminar el impacto que los comentarios de blogs tienen en la clasificación de los resultados de búsqueda, el uso de las técnicas de SEO está creciendo entre los delincuentes en línea. Y los malhechores no usan el truco sólo para infectar las PC de usuarios individuales. El presidente de WhiteHat Security, Jeremiah Grossman, dice que quien pirateó recientemente el sitio Web de Al Gore (find.pcworld.com/59515) agregó un vínculo que sólo puede verse en el código original del sitio.

El vínculo, que apuntaba al sitio de una farmacia en línea, estaba diseñado para darle a ese sitio una mayor relevancia. Grossman dice que el resultado número uno cuando se busca “comprar Viagra en línea” vale US$50.000 al mes, según contactos clandestinos.

Cómo buscar sin riesgo

Aunque este ataque era taimado y eficaz, los expertos de seguridad dicen que no hay necesidad de dejar de usar Google, siempre que usted tome algunas precauciones. Lo más importante es mantener su software corregido y actualizado. Los sitios del ataque usaron un kit de programación llamado “404 exploit framework”, que busca vulnerabilidades conocidas en los programas, dice Roger Thompson, presidente del productor de software de seguridad Exploit Prevention Labs. Usted puede cerrar la mayoría de los agujeros activando la función de actualización automática de Microsoft Windows, Mozilla Firefox, Apple QuickTime y otros programas críticos, pero también debe actualizarse a la última versión de WinZip, un programa que no tiene la característica de actualizarse automáticamente.

[<img border="0" src="/pcwla2.nsf/0/4F71386379FC45E0852573F70019F08E/$File/pag44watchguardmarzo08.gif">]

Fíjese también en donde pulsa y no tendrá que preocuparse de sus búsquedas, como ha hecho Eckelberry. “Soy un fanático de Google”, afirma él. “Y no voy a dejar de usarlo por esto”.

-Por Erik Larkin

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.