El 68% de los ciberataques se inician con archivos PDF en el correo electrónico

Por Marianela Zampatti Maida

Una reciente investigación de Check Point revela que el 68% de los ataques llegan a las organizaciones mediante los buzones de correo electrónico y el 22% lo hace en adjuntos como documentos en formato PDF. Los archivos PDF son ampliamente utilizados en diversas industrias y en muchas ocasiones se usan como elementos de comunicación oficial, lo que los convierte en vehículos ideales para que los atacantes oculten código malicioso.

Los ciberdelincuentes han revisado los principales métodos de detección que utilizan algunos de los principales proveedores de seguridad para el correo electrónico y trabajan para que sus ataques sean cada vez más difíciles de detectar.

¿Por qué se usan los PDF?

Los PDF se envían en adjunto, por lo que pueden evadir los controles de los sistemas de detección automatizados. Si bien este formato cuenta con diversas especificaciones, los delincuentes en un principio se fijaban en las vulnerabilidades para explotarlas en su beneficio. Con el paso del tiempo tanto los navegadores como los software de lectura y edición de PDF han venido actualizando sus métodos de detección y han reducido las vulnerabilidades presentes en el formato. Sin embargo, los PDF se utilizan en una de las prácticas que mejor funcionan para obtener datos de los usuarios: el phishing.

Los atacantes pueden enviar un PDF como si fuera un documento oficial (de una empresa o institución gubernamental) e incluir links a páginas fraudulentas para obtener información o descargar malware en el equipo del usuario. Pero para llegar a este punto, se requiere de algo de ingeniería social. Los atacantes ya saben previamente si el usuario está suscrito a algún servicio de streaming, es cliente de un banco específico o está interesado en hacer alguna compra particular, y luego suplantan esa identidad (la del servicio de streaming, del banco o de la tienda online). Los delincuentes pueden por ejemplo, actuar a nombre del banco.

Envían una falsa comunicación diciéndole al usuario que gracias a su perfil como cliente ha recibido una tasa de crédito preferencial y que debe hacer clic en cierto enlace para validar su información. Una vez que el usuario se encuentra en ese enlace, se despliega el ataque. En muchas ocasiones la génesis de los ciberataques está en el correo electrónico, oculta detrás de un aparentemente inofensivo archivo de PDF. Aunque esta técnica es poco sofisticada, su simplicidad dificulta la detección por parte de los sistemas automatizados. El objetivo del atacante es conseguir que la víctima haga click en el enlace.

¿Cómo pasan desapercibidos los PDF?

Lo que hace que estas campañas sean difíciles de detectar es que los atacantes controlan todos los aspectos del mensaje e incluso pueden editarlo para suplantar a varias organizaciones. Estos ataques implican interacción humana (la víctima debe hacer click en el enlace), lo que suele ser una ventaja para los atacantes. Los sistemas de detección automatizados tienen dificultades con tareas que exigen la toma de decisiones humanas. Para evitar ser detectados, los actores de amenazas utilizan diversas técnicas. Conocerlas es fundamental para saber cómo funcionan estos ataques y cómo evitarlos.

1) Redireccionamiento: los atacantes utilizan servicios de redireccionamiento como Bing, LinkedIn o las AMP de Google, para enmascarar el verdadero destino del enlace malicioso. Estos servicios (Bing, LinkedIn, etc.) por lo general están incluidos en la lista blanca de los proveedores de seguridad, lo que dificulta la detección de la amenaza por parte de los sistemas.

2) Códigos QR: otra técnica consiste en agregar códigos QR en archivos PDF para que el usuario los escanee con su teléfono (así los atacantes evitan por completo los escáneres de URL tradicionales).

3) Estafas telefónicas: en algunos casos, los atacantes se basan en la ingeniería social para incitar a las víctimas a llamar a un número de teléfono que aparece en el documento.

4) Machine learning (ML): a medida que los sistemas de seguridad dependen cada vez más del ML para detectar amenazas, los atacantes encuentran formas de evadir estos modelos.

Dentro de las formas de evasión, una técnica común es agregar el texto como una imagen. En lugar de enviar el contenido de texto en el PDF, los delincuentes pueden usar un editor de imágenes, escribir allí el texto y pegar esa imagen sobre el PDF. Los sistemas de seguridad no encuentran texto, lo que los lleva a depender del reconocimiento óptico de caracteres (OCR) que es propenso a errores.

Cómo mantenerse a salvo de estos ataques

A continuación revelaremos algunas recomendaciones útiles a la hora de evaluar la pertinencia de un archivo PDF e identificar posibles ataques. Verifique siempre el remitente. Incluso si el PDF parece legítimo, verifique la dirección de correo electrónico del remitente. Los ciberdelincuentes a menudo suplantan a marcas conocidas para engañarlo. ¿Hay errores de ortografía evidentes en el contenido del correo? ¿La url del correo se puede visitar, es una página genuina? Revise muy bien estos detalles para tener pistas sobre la autenticidad de la comunicación.

Tenga cuidado con los archivos adjuntos: si no esperaba un PDF, especialmente uno que le pide que haga click en un enlace, que escanee un código QR, que llame a un número, o peor aún, que contacte a la compañía a un número en WhatsApp, considérelo sospechoso. Revise la extensión del archivo: sospeche si en el correo electrónico al identificar el adjunto ve el ícono de un documento en PDF, pero al pasar el cursor por encima, o al ver el nombre completo del archivo se nota que la extensión no es .pdf sino .exe, .bin o .txt. Esta es indicador muy claro: no descargue ni abra ese archivo.

Pase el cursor antes de hacer clic: si los anteriores filtros los pasó sin problemas (parece una dirección de correo genuina, no tiene errores de ortografía, usa la misma imagen de la organización, es un archivo PDF, etc.), pase el cursor por encima del enlace en el PDF (sin hacer clic) para obtener una vista previa de la URL completa. Si el link no es el de la empresa que dice estar representando, puede ser signo evidente de un enlace falso. Tenga especial precaución con los enlaces acortados o bien aquellos que utilizan servicios de redireccionamiento como Bing o LinkedIn. Utilice un lector de PDF seguro: los navegadores y lectores de PDF modernos cuenta con funciones de seguridad integradas, manténgalos actualizados y evite abrir archivos PDF en software desconocido o que ya esté obsoleto o descontinuado.

Desactive JavaScript en los visores de PDF: si su lector de PDF admite JavaScript (muchos lo hacen), desactívelo a menos que sea absolutamente necesario. Esto reduce el riesgo de ataques basados en scripts. Mantenga actualizados los sistemas y las herramientas de seguridad. Asegúrese de que su sistema operativo, navegador y software antivirus se actualicen regularmente. Los parches son la primera línea de defensa contra las vulnerabilidades explotadas en PDF maliciosos.

Confíe en su instinto: si un PDF parece demasiado bueno para ser verdad, tiene un formato extraño, presenta errores tipográficos, o pide credenciales, es probable que sea una trampa. Nuestros cerebros pueden identificar los detalles y nos alertan sobre anomalías que no siempre hacemos consientes. Filtro de la urgencia: ¿llegará el fin del mundo si usted no responde a esa solicitud o no ingresa al link del PDF? Si es una tarea que puede esperar, tómese el tiempo para confirmarlo. Llame al banco o la entidad que se supone lo está contactando y asegúrese de que se trata de un documento genuino. Será mejor tomar un poco más de tiempo y confirmar, en lugar de actuar con urgencia. Si se trata de un ataque, es poco lo que se puede proteger después de hacer clic.

(*) Presidenta de firma especializada en soluciones de ciberseguridad.