Así puedes protegerte de los ataques de scripting en Microsoft Office

Así puedes protegerte de los ataques de scripting en Microsoft Office

Lorena Fernández

No hay duda de que los programas que forman parte de la suite de Microsoft Office son bastante populares. Estos son utilizados especialmente en entornos corporativos. En consecuencia, una de las actividades que se da con más frecuencia es el intercambio de correos electrónicos. En muchos de estos mensajes, podemos encontrarnos con archivos adjuntos, pero si no se aplican medidas esenciales de protección y prevención, podremos ser víctimas de ataques de scripting.

¿En qué consisten estos ataques de scripting? En primer lugar, debemos comprender en esencia lo que significa y qué hace un script. Básicamente, es un conjunto de instrucciones que realizan determinadas tareas, basadas estrictamente en lo que nosotros programamos en dichos scripts. Este es uno de los aliados más importantes de cierto tipo de documentos en Office como Excel. En diversos entornos laborales, se aplica el uso de scripts para que puedan desarrollarse las conocidas macros.

Las macros son muy empleados en las organizaciones debido a que permite agilizar y automatizar todo tipo de tareas, especialmente aquellas que son muy repetitivas o bien, que requieran fórmulas con parámetros muy extensos. Lo primero que se percibe en cuanto a beneficios es lo siguiente: ahorro de tiempo y muchos menos errores por el factor humano. Sin embargo, todo esto puede pasarse al ámbito de los cibercrimen.

En RedesZone hemos hablado anteriormente que Gmail está mejorando la detección de gran parte de los archivos maliciosos provienen de Office. Así, queda en evidencia que las soluciones tecnológicas más populares son los blancos más importantes y sobre todo, atractivos para los cibercriminales.

¿Qué es el Spearphishing?

Desafortunadamente, la actividad de scripting goza de una gran popularidad entre los diversos ataques informáticos. Especialmente, si nos referimos al Spearphishing. Que es el típico phishing que se cobra víctimas gracias a los mensajes de correos electrónicos. Los cibercriminales, previa recolección de información sobre el objetivo, se encargan de generar estos correos electrónicos maliciosos para robo de datos, o bien, inserción de todo tipo de malware en los dispositivos.

El Spearphishing Attachment, es la variante de Spearphishing que se enfoca en los adjuntos enviados por correo electrónico. Sin embargo, no sólo se envían adjuntos que sean archivos de Excel o Word o cualquier otro de Office. Sino también archivos ejecutables (.exe, por ejemplo), PDFs, carpetas comprimidas y mucho más. Una vez que la víctima nota que hay un archivo adjunto, procede a abrirlo.

En muchos casos, nada más se necesita de la simple acción del usuario para que sea atacado. Lo que acontece después de abrir el archivo sospechoso es que se explota una o más vulnerabilidades para posteriores ataques. En otros casos, se procede directamente con el ataque como inserción de malware o ransomware.

¿Por qué las personas harían clic en archivos de origen sospechoso? La principal razón es la curiosidad. Y de ese detalle, los atacantes son bastante conscientes. Es por eso que existen escenarios de ataques de tipo spearphishing que tienen cierto texto que alimente la curiosidad y las ganas de abrir un archivo. Este texto atractivo puede venir en compañía de instrucciones para descifrar un adjunto o descomprimir una carpeta comprimida protegida con contraseña, por citar casos.

La importancia de educar y concienciar a las personas

Pueden darse situaciones peores. Puede ser que nos topemos con archivos que aparenten ser benévolos por el nombre de los mismos, la extensión e incluso los iconos. Ten presente que todo puede ser manipulable, hasta algo que parece un detalle menor como un icono, puede marcar la diferencia entre mantenernos seguros o ser víctima de cierto ataque. He ahí la importancia de que los usuarios finales, especialmente, sepan qué tipo de archivos adjuntos son plausibles de abrir.

Nuestro día a día puede resultar muy ajetreado y bastante pesado. Ésto puede generar faltas de atención o simplemente, falta de importancia a las medidas de seguridad y protección más esenciales. No es complicado, si no esperaste recibir un archivo adjunto «x», piénsalo dos veces y no lo abras. En todo caso, corrobora con el remitente. Ya sea tu amigo, pariente o compañero de trabajo. No hay nada más seguro que el sentido de la duda para estas situaciones.

Incluso cualquier medida de protección o prevención puede servir para absolutamente nada si es que el usuario no está educado. Gran parte de los ataques informáticos se dan en gran medida porque el usuario realizó una acción que sirvió de «disparador» para que tengan lugar dichos ataques.

Por otro lado, aquellas personas que trabajan en una organización y son responsables de los servicios de Office, deben tener en cuenta varias medidas preventivas y de protección. Lo más importante es identificar los requerimientos de todas las secciones, determinar las necesidades de cada una y en consecuencia, dar los permisos que realmente sean necesarios para cada caso. Recuerda que la suite de Microsoft Office para empresas y su implementación puede ser mantenida de acuerdo a distintos perfiles que podemos crear y permisos a asignar.

Si existen personas que, realmente no necesitan acceder al cliente de Outlook tradicional, es posible restringirlos al uso de la web del correo solamente con las funciones esenciales. Otro caso puede consistir en la habilitación/inhabilitación de uso de macros especialmente en plantillas de cálculo (Excel). Para hacerlo, nos tenemos que ir a «Archivo / Opciones / Centro de confianza / Configuración del centro de confianza«:

Una vez dentro, nos vamos a la sección de «Configuración de Macros» para configurar la política de macros.

En el caso del resto de software de Office como Word, el proceso sería exactamente el mismo. También podremos desactivar siempre el ActiveX.

Tal y como habéis visto, es muy importante que si abrimos documentos ofimáticos que hemos recibido por email, nunca debemos ejecutar las macros si es que las hay, y es recomendable hacer uso de servicios como Virus Total para asegurarnos de que no incorpora ningún tipo de código malicioso antes de ejecutarlas.