¿Qué es un watering hole attack y cómo se lleva a cabo?

El término “watering hole attack” tiene su origen en el mundo animal. Hace referencia a la táctica usada por los depredadores para atacar a sus presas en los abrevaderos cuando éstas se acercan a beber.

Aplicado al campo de la ciberseguridad, en un watering hole attack, el hacker hace un perfilado de su víctima. Tras observarle y recabar información acerca de sus hábitos, identifica las páginas que visita habitualmente (por ejemplo, la previsión del tiempo, un buscador de vuelos o un periódico).

Una vez recabada la información necesaria, el hacker aprovechará cualquier posible vulnerabilidad en dicha página e inyectará código malicioso (en los anuncios, en los banners, etc.).

Así, cuando el usuario acceda a la página, se ejecutará o descargará el malware en su dispositivo, y el hacker habrá logrado su objetivo.

¿Por qué los hackers eligen este tipo de ataque?

El hecho de que la página utilizada para infectar al usuario sea de confianza, favorece que este tipo de ataque pase más desapercibido que otros.

¿Cuál suele ser el perfil de las víctimas?

En general, con este tipo de ataque, los hackers no buscan atacar las redes domésticas de los usuarios. Su objetivo suelen ser los empleados de una empresa. Los utilizan como puerta de entrada a la red corporativa. Una vez dentro, tienen toda la información confidencial o estratégica de la empresa u organismo oficial a su disposición.

¿Cómo podemos evitar el riesgo de sufrir un watering hole attack?

El hecho de que los hackers elijan sitios legítimos no incluidos en las listas negras y que utilicen exploits de virus zero-day hace que, herramientas tradicionales como las firmas antivirus o las herramientas de categorización no puedan detectar este tipo de ataque hasta que es demasiado tarde y el daño ya está hecho.

La única forma de detener estos ataques es con la tecnología de aislamiento RITech. RITech es, actualmente, la única solución capaz de adelantarse a los malos y evitar que puedan llegar a alcanzar su objetivo.

Gracias a RITech las empresas u organismos oficiales no tendrán que preocuparse de si un sitio legítimo ha dejado de serlo o no en las últimas 24 horas o de si el sistema antivirus está provocando falsos positivos o negativos. Con RITech, estos problemas desaparecen. El foco ya no está en parar y remediar el ataque. El ataque tendrá lugar, pero no podrá traspasar los entornos de aislamiento y por tanto, alcanzar los dispositivos.

Síguenos en Twitter y LinkedIn para estar al tanto de las últimas actualizaciones