Una de las formas más comunes para propagar malware es mediante comandos macros maliciosos en documentos. En gran parte de los casos, esto quiere decir macros para archivos de Microsoft Office. O sea, para documentos de Word, hojas de cálculo en Excel o presentaciones de Power Point. Un empleado promedio maneja muchos de estos documentos cada día.
Este problema tiene más de 20 años, o sea que desde hace mucho tiempo ha necesitado una solución, por decirlo de manera amable. En febrero, Microsoft anunció su intención de bloquear la ejecución de macros en documentos descargado de Internet. No obstante, a principios de julio, los usuarios de Microsoft Office se percataron de que dicha innovación había sido revertida. Cuando surgió la noticia, la compañía no había dado una declaración oficial sobre esta decisión, aunque un portavoz señaló que era algo temporal y “basado en opiniones”. En cualquier caso, es un buen momento para recordar qué son las macros exactamente, cómo pueden afectar la ciberseguridad corporativa y cómo es posible protegerse ante esta amenaza.
¿Qué son las macros y por qué pueden ser un peligro?
En ocasione, los usuarios de Microsoft Office necesitan volver automáticos diversos procesos. Para esto, se puede programas un algoritmo determinado o una secuencia de acciones, conocida como macro. Aquí un ejemplo sencillo: un contador elabora un mismo informe cada mes; para ahorrar tiempo, crea una macro para destacar de manera automática los nombres de los clientes en la segunda columna en negritas.
Las macros se crean en VBA (Visual Basic para aplicaciones), que, a pesar de estar simplificado, sigue siendo lenguaje de programación. Como suele suceder, los atacantes lo utilizan para sus propios fines.
Vale la pena señalar que familiarizarse con las macros implica un conocimiento muy profundo de la suite de Office, lo cual no es algo que todos los empleados manejen, sin importar lo que hayan dicho en sus currículums. Algunos de ellos ni siquiera saben sobre la existencia de las macros. Los ciberdelincuentes, por otro lado, no utilizan macros para crear algoritmos inofensivos para rutinas automatizadas, sino comandos maliciosos.
¿Cómo lo hacen?
Un típico ataque a una empresa comienza con un envío en masa de correos electrónicos maliciosos a los empleados. Dichos mensajes pueden parecer ofertas de trabajo, noticias sobre la empresa, facturas de proveedores, información sobre los competidores, etc. El nivel de sofisticación depende solamente de la imaginación de los atacantes. El objetivo principal es lograr que el destinatario abra el archivo adjunto o descargue un documento clicando en el enlace para luego abrirlo.
Lo que los cibercriminales necesitan es que la macro maliciosa dentro del archivo sea ejecutada. Hace varias lunas, las macros incrustadas de ejecutaban de forma automática, pero Microsoft limitó esta función para que ahora, al abrir un archivo descargado en línea, se le informe al usuario que las macros no están habilitadas
Entonces no hay problema, ¿cierto? Pues no exactamente. Muchos usuarios dan clic en el botón “habilitar contenido” sin pensar, lo cual hace posible la ejecución automática de dichas macros, al tiempo que abre la puerta al malware. De esta manera los atacantes obtienen continuamente accesos a la infraestructura de su empresa objetivo. Además, como mencionamos antes, gran parte de los empleados no tienen idea de los problemas que puede acarrear un clic inocente en el botón “habilitar contenido”.
Finalmente, Microsoft tomó la única decisión correcta: no darle al usuario ninguna opción, para así bloquear las macros de forma determinada en los archivos descargados. La comunidad de expertos en seguridad de la información recibió esta noticia con agrado y dicha innovación se implementó a principios de abril de este año. En lugar de un botón, los usuarios vieron la advertencia de seguridad con un link a una publicación sobre los peligros de las macros. Pero esta alegría duró poco: el cambio fue revertido poco después.
¿Cómo puedes protegerte?
Los administradores de IT de las grandes empresas siempre han sido capaces de deshabilitar las macros en el nivel de la política de seguridad. Por tanto, si los flujos de trabajo no requieren utilizar macros, recomendamos en general hacer lo mismo. Al hacerlo, un usuario que abra un documento con una macro verá una advertencia diferente:
Si esta opción no está disponible por algún motivo, hasta que Microsoft reintroduzca el bloqueo predeterminado de macros en los archivos descargados, es de vital importancia proteger todos los dispositivos de trabajos con [KESB placeholder] soluciones de seguridad confiables [KESB placeholder]. Además, recomendamos capacitar a todos los empleados de la empresa en los conceptos básicos de ciberseguridad, poniendo especial atención en los siguientes puntos:
- Nunca descargar y luego abrir archivos inesperados, aunque parezcan provenir de una persona u organización de confianza. Es probable que los hayan enviado estafadores.
- No aceptar y habilitar ciegamente contenido en archivos descargados de internet o recibidos por correo electrónico. Para la visualización normal del contenido, esto no debería ser necesario.
- Si alguien, en un correo electrónico o un sitio web, solicita que el contenido sea habilitado, desconfíe.