Uno de los consejos en los que los profesionales de la seguridad llevan incidiendo desde hace por lo menos un par de décadas, si no más, es en que las descargas de software deben hacerse solo desde sitios fiables. Los consejos de seguridad informática enfocados a este tema suelen ser bastante sencillos, pero por alguna razón, los usuarios siguen descargando archivos de sitios claramente no fiables y, como resultado, su información y dispositivos se ven en muchas ocasiones comprometidos.
En este sentido, ESET, compañía líder en ciberseguridad, ha señalado los principales fallos por los que los usuarios caen en estas trampas y las claves para conseguir descargar software de manera segura:
Un fallo en las comunicaciones
Las razones o falta de ellas por las que las personas caen en engaños a la hora de realizar descargas de software son muy diversas, al igual que lo son los colectivos más propensos en caer en estas trampas. En muchas ocasiones la gente admite abiertamente ser imprudentes confiando en fuentes de descarga de software cuando sabían que no era de fiar. Algunas veces, la fuente parece fiable pero no lo es y otras, los usuarios admiten que habían designado muy claramente la fuente del malware como digna de confianza incluso por desinformación cuando era claramente poco fiable. Los escenarios más comunes que llevaron a los usuarios a comprometer sus ordenadores mediante la descarga de archivos, según fuentes de WeLiveSecurity, blog internacional de ESET:
- Un engaño muy común es recibir un mensaje privado a través de Discord de un “amigo” en línea pidiéndoles su opinión sobre un juego que estaba escribiendo. El «juego» que el amigo estaba escribiendo se encontraba en un archivo .ZIP protegido por contraseña, que tenían que descargar y extraer con la contraseña antes de ejecutarlo. Por desgracia, la cuenta del amigo había sido comprometida anteriormente, y el atacante la estaba utilizando ahora para difundir software malicioso.
- Algunos usuarios utilizaban Google para buscar algún tipo de software comercial que querían utilizar, pero especificaban que buscaban una versión gratuita o crackeada del mismo y lo descargaban de un sitio web que aparecía en los resultados de la búsqueda. Lamentablemente, no siempre se trata de software comercial, e incluso los programas gratuitos o de código abierto han sido objeto recientemente de campañas de publicidad maliciosa (malvertising) a través de Google Ads.
- Del mismo modo, buscaban en YouTube un vídeo sobre cómo descargar una versión funcional o crackeada de un paquete de software comercial y, a continuación, iban al sitio web mencionado en el vídeo o que aparecía en sus comentarios para descargarlo.
- Una de las opciones más peligrosas es la descarga de software mediante torrent desde un conocido sitio especializado en software pirata o descargar el software desde un tracker privado, un canal de Telegram o un servidor de Discord en el que llevaban activos más de un año.
A pesar de las distintas formas de recibir el archivo (buscarlo frente a que te lo pidan, utilizar un motor de búsqueda, un sitio de vídeos o de piratería, etc.), todos estos escenarios tienen un punto común. Se trata del exceso de confianza, que es la mayor puerta de entrada para los ciberdelincuentes.
Sitios seguros, la clave para no comprometer los dispositivos
Los profesionales de la seguridad repiten continuamente que la descarga de archivos ha de hacerse sólo de sitios web fiables, pero la difusión de esta información se queda a veces corta. Educar al público sobre qué tipo de sitios visitar (los fiables, obviamente) sin explicar qué hace que un sitio sea seguro, puede significar hacer solo la mitad del trabajo.
Los profesionales encargados de la seguridad de la información coinciden en que la clave para saber si un sitio web tiene buena reputación para descargar software es que sea un espacio perteneciente al autor o editor, o que esté expresamente autorizado por ellos. En el mundo actual del software, el sitio del editor puede ser un poco más flexible, ya que los archivos se pueden almacenar en GitHub, SourceForge u otras redes de distribución de contenidos (CDN) operadas por un tercero. La clave para confiar en este tipo de alojamientos es que siempre que haya sido el editor quien subió explícitamente el contenido o este esté autorizado expresamente por el autor. A veces, los editores proporcionan enlaces adicionales a otros sitios de descarga para sufragar costes de alojamiento, proporcionar descargas más rápidas en diferentes regiones, promocionar el software en otras partes del mundo, etc.
Existen muchos sitios legítimos y seguros en Internet para descargar versiones de prueba y gratuitas de software, porque enlazan con las propias descargas del editor. Un ejemplo de ello es Neowin, donde todos los enlaces de descarga van directamente a los propios archivos del editor o a su página web. Otro sitio de confianza que enlaza directamente con las descargas de los editores de software es MajorGeeks, que lleva más de dos décadas publicando listas casi a diario.
Aunque la descarga directa garantiza que se obtiene el software de la empresa (o persona) que lo escribió, eso no significa necesariamente que esté libre de malware. Ha habido casos en los que se ha incluido software malicioso en un paquete de software, de forma involuntaria o no. Del mismo modo, si un editor de software incluye aplicaciones potencialmente no deseadas o adware con su software, seguirá recibiéndolo con una descarga directa desde su sitio web.
En algunos casos autores de software sin escrúpulos han eludido los procesos de verificación de las tiendas de aplicaciones para distribuir software que invade la privacidad de las personas con spyware, muestra múltiples anuncios y participa en otros comportamientos no deseados. El uso de tiendas de aplicaciones es bastante recomendado, ya que tienen la capacidad de eliminar de sus listas este tipo de software malicioso, así como de desinstalarlo remotamente de los dispositivos afectados. Igualmente, incluso si sólo descarga aplicaciones de la tienda oficial, es imprescindible tener software de seguridad en su dispositivo para protegerlo.
Los fabricantes de dispositivos, los minoristas y los proveedores de servicios pueden añadir sus propias tiendas de aplicaciones a los dispositivos, sin embargo, es posible que estos no tengan la capacidad de desinstalar aplicaciones de forma remota.
Conclusiones sobre las buenas prácticas para realizar descargas seguras
Los profesionales de la seguridad aconsejan a los usuarios que mantengan actualizados los sistemas operativos y las aplicaciones de sus ordenadores, que utilicen únicamente las versiones más recientes y que utilicen software de seguridad de proveedores reconocidos. Y, generalmente, la gente sigue estos principios, pero estas prácticas no les protegen de todos los tipos de amenazas.
“El terreno se vuelve pantanoso cuando empiezas a buscar fuentes poco fiables de las que descargar aplicaciones. El software de seguridad intenta tener en cuenta el comportamiento humano, pero también lo hacen los ciberdelincuentes, que explotan continuamente conceptos como la reputación y la confianza” destaca Josep Albors, director de Investigación y Concienciación de ESET España.
Responder y defenderse de forma efectiva contra los ataques a la confianza, que son esencialmente tipos de ingeniería social, puede ser difícil. En el tipo de escenarios que explican desde ESET, la educación del usuario complementando a las soluciones de seguridad informática puede ser la defensa definitiva, pero eso sólo si los profesionales de la seguridad transmiten el mensaje correcto.
Puedes leer aquí el post en inglés de Aryeh Goretsky, Distinguished Researcher, ESET.